blog.oxynux.org - Tag - linux and open source

Grsec & grub-probe (update-grub failing)

Benjamin Collet — Sun, 07 Dec 2008 08:48:00 +0100

If you have a grsec-patched kernel and PaX is enabled, update-grub is failing, witch is a little bit annoying:

8:45 root@sloane ~# update-grub                              
Searching for GRUB installation directory ... found: /boot/grub
zsh: exit 137   update-grub

After a little more in-depth look, the problem come from grub-probe not having the right PaX flags.

Default flags:

8:47 root@sloane ~# chpax -v /usr/sbin/grub-probe 

----[ chpax 0.7 : Current flags for /usr/sbin/grub-probe (PeMRxS) ]---- 

 * Paging based PAGE_EXEC       : enabled (overridden) 
 * Trampolines                  : not emulated 
 * mprotect()                   : restricted 
 * mmap() base                  : randomized 
 * ET_EXEC base                 : not randomized 
 * Segmentation based PAGE_EXEC : enabled

We need paging and segmentation based PAGE_EXEC to be disabled: chpax -ps /usr/sbin/grub-probe.

It should now work:

8:51 root@sloane ~# grub-probe --device-map=/boot/grub/device.map -t device /
/dev/md0

Grsec & snmpd

Benjamin Collet — Sun, 07 Dec 2008 08:04:00 +0100

With a grsec-patched kernel, only members of the specific group #112 are allowed to access /proc, but having the snmp user in grsec group is not enough, because snmpd doesn't set the groups the user belongs to properly. You can use the -g flag, but it will only change the owner group, and still won't set the groups to snmpd.

For instance, without setting the -g flag:

Gid:    0       0       0       0
Groups: 0

With -g 112:

Uid:    118    118    118    118
Gid:    112    112    112    112
Groups: 112

I wrote this quick&dirty little patch, to enable correct group attribution:

--- snmpd-orig/agent/snmpd.c        2007-07-19 23:01:43.000000000 +0200
+++ snmpd-patch/agent/snmpd.c       2008-11-17 15:02:04.000000000 +0100
@@ -960,7 +960,7 @@
         DEBUGMSGTL(("snmpd/main", "Changing gid to %d.\n", gid));
         if (setgid(gid) == -1
#ifdef HAVE_SETGROUPS
-            || setgroups(1, (gid_t *)&gid) == -1
+            || initgroups(getpwuid(uid)->pw_name, gid) == -1
#endif
             ) {
             snmp_log_perror("setgid failed");
@@ -970,6 +970,14 @@
             }
         }
     }
+    else if(initgroups(getpwuid(uid)->pw_name, getpwuid(uid)->pw_gid) == -1)
+    {
+      snmp_log_perror("initgroups failed");
+      if (!netsnmp_ds_get_boolean(NETSNMP_DS_APPLICATION_ID,
+    NETSNMP_DS_AGENT_NO_ROOT_ACCESS)) {
+          exit(1);
+      }
+    }
#endif
#ifdef HAVE_SETUID
     if ((uid = netsnmp_ds_get_int(NETSNMP_DS_APPLICATION_ID,

Now I do have:

Uid:    118    118    118    118
Gid:    112    112    112    112
Groups: 112 65534

Kwain

Benjamin Collet — Fri, 13 Jun 2008 18:47:00 +0200

À peine le temps de se retourner et pouf, ça fait déjà plus d'un mois que j'ai rien mis ici...

Après un mois de révisions, rapports à rendre et une semaine de partiels lourdement chargée (12 partiels en une semaine, sortez la vaseline !), me voici enfin en vacances et je vais enfin pouvoir glander... Ah, on me souffle à l'oreillette que non, j'ai un programme chargé encore...

Tout d'abord, vendredi dernier, sitôt mon dernier jour d'épreuves terminé, je passe la soirée chez Douille pour son anniversaire, où j'ai pu revoir (entre autres) Dave, en stage chez Google à Zurich, et Mc2, de retour d'un semestre d'étude en Finlande. Une bonne soirée, bien huileuse (et les frittes et autres fritures n'en était pas la seule cause), où chacun y est allé de son flot de grasseté et d'inutilité (oui une capsule de bière tient très bien sur le front sans avoir besoin d'y ajouter un additif collant).

Le lendemain fut plus studieux, Sam et Dave nous avait concocté un petit évènement, avec le support de Google (oui, oui, ce Google) ; j'ai nommé le Google Code Camp. Le principe est simple, vous prenez une grande salle réservée pour une nuit, vous y mettez une tripotée de geeks avec leurs machines, vous les approvisionner en boissons et pizzas, et vous laissez mijoter. Sur la demande de Sam, j'ai fait une petite présentation de GnuPG, un logiciel cryptographique, et des notions connexes (réseau de confiance, etc...). Un article de cet évènement a même été publié dans Le Pays.

Photos de gauche et du milieu par Maxime Hadjinlian, photo de droite par Guillaume Revaillot.

Hier soir, sur proposition d'A6, je me retrouve à Besançon avec ce dernier et Colin pour un conert de Martin Solveig et Maroon 5, une bonne petite soirée avec de bons craquages. Seul petit regret : la moyenne d'âge des spectateurs, on se serait dit à la sortie d'un collège (bon j'exagère un peu), sinon à part ça c'était bien sympathique.

On va finir par une petite touche associative ; les problèmes de RAM de Valeska sont maintenant terminés. Des petits soucis de resynchronisation de la réplication MySQL sont venus noircir l'horizon lorsque l'on l'a faite revenir à la vie, mais en une heure et demi, c'était de nouveau opérationnel. Sinon, n'ayant pu travailler à plein régime pour l'équipe informatique ces derniers temps, la todo-list s'est vu s'agrandir assez violemment, je me suis donc fixé pour objectif d'ici la fin du mois d'aller plus vite que les demandes des utilisateurs et d'annihiler le travail en attente (tout un programme), en essayant de passer outre le fait d'avoir l'impression que personne n'apporte d'intérêt à votre travail.

Le moral ? On fait aller, des hauts et des bas, on y pense pas et ça roule !

Ma dernière (enfin j'espère) boulette de l'année

Benjamin Collet — Mon, 31 Dec 2007 18:05:00 +0100

Une boulette geek en plus...

Tout partait bien, Fleurda me dit de couper mon serveur pour le brancher derrière son tout nouvel onduleur. Je recupére donc mon screen (qui tourne sur mon serveur) et choisis un des "onglets" pour y lancer un mortel sudo halt. Il me demande mon mot de passe et coupe la connexion... mais le serveur est toujours allumé. Tiens... antares c'est pas le nom de mon serveur...

Et là on se rend compte à quel point on a été con de laisser une session distante ouverte à l'abandon dans son screen, d'avoir mis le même mot de passe sur son serveur et pour son user sur un autre serveur.

Bref, du coup j'ai coupé le serveur qui héberge le serveur irc actuel des étudiants de l'UTBM, les dns et le dhcp pour les habitants de la Riverotte.

Heureusement Jflesch veille au grain... Pour une fois on dira que c'est la faute à BenC` !

Fonero gets Fonero

Benjamin Collet — Mon, 31 Dec 2007 10:55:00 +0100

Vous ne connaissez peut être pas le programme Fonero gets Fonero. Le principe est simple, si vous êtes membre de la communauté FON^[1], vous avez des réductions à envoyer à vos amis pour qu'ils puissent acheter une Fonera, le routeur wifi de FON, à un prix avantageux.

Tout ça pour dire, que j'ai quelques réducs, qui font la Fonera à 10,99 € (ou 12.99 € avec la Fontenna). Si vous en voulez une, laissez moi un commentaire (en remplissant bien le champ email).

Notes

[1] [Qu'est-ce que FON ?]