[linux-l] Dateien mit '/' im Dateinamen

Peter Ross Peter.Ross at alumni.tu-berlin.de
Do Aug 7 03:33:19 CEST 2003 

On Wed, 6 Aug 2003, Steffen Dettmer wrote:

> > Habe ich nicht verstanden. Es nicht zuzulasssen, Kernelmodule
> > nachzuladen, ist doch kein "Geheimnis". Das darf der Angreifer
> > ruhig merken.
>
> Klar, das ist ja auch kein Beispiel dafür. Aber das geht mit
> einem Standard-Linux auch gar nicht zu machen, da braucht man
> dann einen Patch, oder?

Ja, "Standardlinux" kann das nicht. Und, was ich beim FreeBSD alles von
Hause dabei habe, muss ich zusammensuchen

[Zusammenfassung]

Speziell fuers Kernelmodulnachladen habe ich nichts
gefunden. Habe ca. eine Stunde Suche nach Securityfeatures von Linux
gemacht und bin ziemlich frustriert.

Natuerlich kannst Du jeder Zeit einen statischen Kernel backen und keinen
Loadersupport bieten - dann hast Du aber unter Umstaenden Dein Problem,
nicht mal schnell was wechseln zu koennen (oder Du baust halt einen
"Monsterkernel")

[Details]

1. http://plus-linux.de/wiki.cgi?SecureLevels

  Oh, dieses schreibt so einiges dazu, wie es unter *BSD geloest ist.

  Im Ernst, der Anfang, ein Auszug aus dem FreeBSD-Handbuch, beschreibt
  gerade Hintergruende zu den Sicherheitsfeatures, u.a., wie sinnvoll
  es sein kann, das Nachladen von Kernelmodules zu verbieten.

  Ich finde es sehr schoen argumentiert (in meinem Sinne;-)

2. Oja, es gibt da etwas unter Linux. Well, well documented..

   http://sourceforge.net/projects/linux-privs/

   This project has not yet submitted a description

   Dokumentation ist leer, aber .. es gibt zwei Mailinglisten;-)

   Tja, also - es gibt chattr(1) fuer ext2fs, was ein bisschen den
   chflags(1) von FreeBSD aehnelt.

   Es gibt securelevels, die unter Linux 2.0 im Kernel gepacht werden
   (int securelevel=0 zu 1) (Projekt gestorben?)

   Es gibt cababilities, die nach Mails feingranulierter sind und
   Aequivalente in der Mainframe-Welt haben.

   Nach
   ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.4/README
   (2001), Compilieren gegen 2.2-Header) sieht der Weg wie ein toter Ast
   aus?

   Es gibt ein Projekt, was aehnlich wie jail(2) unter FreeBSD arbeiten
   soll, aber .... ich kann es nicht finden (nach 1h google in paar Male
   in die Sackgasse alter, toter Projekte gelaufen)

   Es gibt User Mode Linux..

Hmmh, also, alles irgendwie da und schwer zu finden. Ich weiss, dass wir
das annaehernd alles irgendwo zusammenklaubt haben, in einer Phase, als
ich Enmde letzten Jahres in meiner nun Ex-Firma dafuer plaedierte, im
Webhosting-Environment FreeBSD statt Linux einzusetzen.

In FreeBSD fand ich das alles out-of-the-box, meine Chefs haben sich
angestrengt, mir zu zeigen, dass es alles auch irgendwie mit gepatchtem
Linux geht.

Ich haette den Linuxkernel fuenf Mal patchen muessen --

Anyway, das macht jetzt jemand anders und da laeuft das denn ungepatcht;-)

Uebrigens ist auch Kernel-NFS beherrschbar, rate mal, wo es
funktioniert;-)

Gruss
Peter

Mehr Informationen über die Mailingliste linux-l