O PaX é um patch que devemos adicionar em nosso kernel. Faz-se necessário para esta parte conhecimento em compilação do kernel, se você não possui tal, fique a vontade para ler o resto do artigo, porém. não irei me ater a ensinar como fazer a compilação existe farta e ampla documentação na internet visando a compilação.

Iremos utilizar o kernel 2.4.26, que é a última versão estável do kernel do Linux para utilizarmos (no período em que foi escrito este artigo).

Uma vez baixada a versão do kernel que iremos utilizar e supondo que você já configurou devidamente o seu kernel como sempre faz, iremos agora mostrar os passos de como adicionar o PaX nele.

Baixaremos a versão do PaX disponível para nossa versão do kernel. Visite http://pax.grsecurity.net e baixe o arquivo pax-linux-2.4.26-200404151725.patch, ele será o que iremos utilizar.

Baixe também o arquivo chpax-0.6.tar.gz, ele será extremamente útil para configurações necessárias em nosso sistema.

Aplique o patch em seu kernel com o comando:

# patch -p0 < /path/to/pax-linux-2.4.26-200404151725.patch

Após ter adicionado o patch, vamos dar uma olhada novamente na configuração de nosso kernel, para tanto utilize "make menuconfig". Você perceberá que uma nova opção apareceu no menu principal:

PaX options --->

Assim que você selecioná-la aparecerão 3 sub-menus:

 PaX Control  --->                                          
 Non-executable pages  --->                              
 Address Space Layout Randomization  --->

Acesse os 3 sub-menus e selecione todas as opções que encontrar, assim você terá habilitado todas as funções que o PaX pode lhe oferecer.

Muito bem, tendo feito isto basta compilar o seu kernel normalmente como costuma fazer. E voi-lá, terá o seu kernel com o PaX.

Agora teremos que adicionar o pacote chpax-0.6.tar.gz, para tanto vamos copiar ele para /opt e lá vamos descompactá-lo:

$ tar -xzvf chpax-0.6.tar.gz
$ cd chpax-0.6/
$ ls

.          Makefile  aout.o   chpax.c  elf32.c  elf64.o  io.c
..         README    chpax.h  elf32.o  flags.c  io.o
Changelog  aout.c    chpax.1  chpax.o  elf64.c  flags.o

Use:

$ make
$ su
# make install

e pronto, terá instalado em seu sistema o chpax.

Vamos dar uma olhada panorâmica no executável que instalamos:

$ chpax

chpax 0.6 .::. Manage PaX flags for binaries
Usage: chpax OPTIONS FILE1 FILE2 FILEN ...
  -P    enforce paging based non-executable pages
  -p    do not enforce paging based non-executable pages
  -E    emulate trampolines
  -e    do not emulate trampolines
  -M    restrict mprotect()
  -m    do not restrict mprotect()
  -R    randomize mmap() base [ELF only]
  -r    do not randomize mmap() base [ELF only]
  -X    randomize ET_EXEC base [ELF only]
  -x    do not randomize ET_EXEC base [ELF only]
  -S    enforce segmentation based non-executable pages
  -s    do not enforce segmentation based non-executable pages
  -v    view current flag mask 
  -z    zero flag mask (next flags still apply)

The flags only have effect when running the patched Linux kernel.

Temos as principais opções do PaX para serem selecionadas logo acima, em geral precisaremos utilizar o "-s" para non-executable e o "-p" para paging do non-executable.

Logo de cara quando você bootar o seu sistema com o PaX carregado você verificará que o X não inicia mais... isso porque o X utiliza páginas que o non-executable bloqueia. Portanto temos que liberar o Xfree para iniciar com o comando:

# chpax -sp /usr/X11R6/bin/XFree86

Isso será o suficiente para seu X voltar a iniciar normalmente.

Agora iremos fazer alguns testes com o PaX e ver o que ele pode fazer para proteger o nosso sistema.