[linux-l] FreeS/Wan - Kernel ohne Modulsupport

Steffen Dettmer steffen at dett.de
Do Mär 27 08:52:32 CET 2003


* Peter Ross wrote on Thu, Mar 27, 2003 at 11:23 +1100:
> Hi Steffen,
> 
> On Wed, 26 Mar 2003, Steffen Dettmer wrote:
> 
> > BTW, warum compiliert man Modulsupport raus?!
> 
> Um den ptrace-Exploit zu umgehen;-)

Ist ja ein Ding: ich benutze Module dafür:

int init_module(void) 
{
        orig_ptrace = sys_call_table[__NR_ptrace];
        sys_call_table[__NR_ptrace]=no_ptrace;
        return 0;
}

> Mal im Ernst, es gibt einen Haufen Situationen, wo Rechner jahrelang
> laufen, ohne je angefasst zu werden. 

Ja, aber auch mit Modulen :-)

> Und wenn Deine Failversolution halt "Einbauen der Festplatte in
> ein andere Kiste einzubauen, hast Du hoffentlich keinen Zoo von
> sieben Typen.

Doch, mindestens. Ist furtchbar, aber irgendwie hat man in zwei
Hosts drei verschiedene Netzwerkkarten, ist unglaublich... 

> Sicherheitsprinzip No.1 - was nicht da ist, kann nicht ausgenutzt
> werden und keine Probleme bereiten.

/dev/kmem?

Gibt doch so ein exploit, wie man kernel code startet, ohne
Modulsupport zu verwenden IIRC.

Aber Du hast natürlich Recht mit dem Prinzip. Und Du hast ja die
Arbeit :) 

> Ich kannte den Bug vor ein paar Tagen nicht (wie jeder andere
> auch), aber ich musste auch nicht in Panik verfallen, was ich
> nicht habe, stoert mich nicht.

Na, den meistens kann man auch ausreichend vertrauen, daß sie
entweder einen exploit nicht hinkriegen, meistens aber das auch
gar nicht wollen. Na ja.

> Aber wer versteht heutzutage noch "keep it simple"?

Ja, das ist nicht mehr so in. Simple ist für mich, einfach einen
SuSE Kernel samt modulen zu verwenden, dann muß SuSE das update
testen :-) 

> Die Festplatten sind einfach zu gross geworden..

... und trozdem zu 75% voll. Komisch eigentlich, aber man gewöhnt
sich an das Phänomen...

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.




Mehr Informationen über die Mailingliste linux-l