[linux-l] Security (Firewalls, etc.)

[Peter Ross]

Hallo Thomas,

On Tue, 28 Jan 2003, Thomas Knop wrote:

> * Steffen Dettmer <steffen at dett.de> [22.01.03 05:59]:
> > * Peter Ross wrote on Tue, Jan 21, 2003 at 14:50 +1100:
> [..]
> > > So war ich immer recht sicher, dass, falls es jemand geschafft hat, auf
> > > den Firewall zu gelangen, er sich eigentlich nur "umgucken" konnte.
> > >
> > > Kann man unter Linux Aehnliches verwirklichen?
> >
> > Meines Wissens nach jein :) Bei OpenWall gibt's da was, erfordert
> > aber einiges an Patching, out of the box unterstützt linux nicht
> > allzuviel in der Richtung.
>
> Sie dir mal http://www.grsecurity.net an. Hat alles was man sich wünscht:
>
> + non-executable stack
> + random PID's, TCP seqence numbers, stacks, ect.
> + auditoring
> + Einschränkungen für chroot Umgebungen
> + ACL's
> + Kernel 2.4.
>
> Ich kenne nichts, was sorviel mit einem Patch erschlägt. Und kein
> anderes Linux Tool kann die ACL's quasi automatisch erzeugen (ACL
> Learning mode).
>
Danke fuer den Tip, der ist sicher auch nicht schlecht.

Die chroot-Erweiterung stellt eine interessante Alternative zum User Mode
Linux da, welches ich angehalten bin, statt des jail(2) des FreeBSD unter
Linux zu verwenden. ULM finde ich nicht besonders elegant, baut es doch
eine VM und reicht dann die Systemrufe an den echten Kernel durch.

Auf Grund einiger Linux-Crashes, speziell auf SMP-Maschinen, bin ich mir
allerdings nicht so ganz sicher, wieviel Patches ein 2.4.19er Kernel
ertraegt.. Und in der .config steht so haeufig "Experimental", bei manchen
Features, glaube ich, seit Jahren, was einem auch nicht gerade
weiterhilft.

Gibt es ernstzunehmende Entscheidungshilfen, um einen solide laufenden
Kernel auf Dual-Prozessor-Maschinen zu haben?

Es gruesst
Peter