[linux-l] Rehabilitation fuer Fedora 1.91

[Olaf 'Rübezahl' Radicke]

On Wednesday 14 April 2004 14:17, Torsten Werner wrote:
> Am 14. April 2004 schrieb Olaf 'Rübezahl' Radicke:
> > Ich versteige mich mal zu
> > der Behauptung, der Einbruch beim Debian-Server hätte
> > nicht passieren können wenn es da ein SELinux-Kernel
> > gegeben hätte.
>
> Reines Wunschdenken, SELinux hätte kein bisschen geholfen.

Da währe ich mir nicht so sicher. Auf Pro-Linux hies es:

---- schnipp -----
Abschlussbericht zum Einbruch in die Debian-Server 
Gesendet von Brian Miculcy am Mi, 3. Dez 2003 um 10:56 

 Das Debian-Team hat gestern den Abschlussbericht zum Einbruch in die 
Debian-Server veröffentlicht.

Es ist jetzt klar, dass die Angreifer sich über ein gesnifftes Passwort 
Zugriff auf den Server "klecker" verschafften (19. Nov. 2003/17:00 Uhr UTC). 
Von dort aus wurde mittels eines Exploits ein Kernel-Fehler (ein Fehler im 
Systemaufruf do_brk) dazu benutzt, Zugriff auf den vollen Adressraum des 
Kernels zu erhalten und somit zu Root-Rechten zu gelangen. Danach wurde sich 
mit dem selben Passwort auf "master" eingeloggt (19. Nov. 2003/17:20 Uhr 
UTC). Da der Server "murphy" diesen Login-Account nicht akzeptierte, wurde 
ein Service-Account von "master" dazu benutzt, sich auf "murphy" einzuloggen 
(19. Nov. 2003/18:30 UTC). Zuletzt konnte sich mit einem neu gesnifften 
Passwort in den Server "gluck" eingeloggt werden (20. Nov. 2003/20:54 UTC). 
Bemerkt wurde das ganze erstmals am 20. Nov. 2003/20:00Uhr UTC, als das 
Admin-Team Kernel-Probleme auf "master" und "murphy" feststellte.
----- schnapp ------

Das gesnifftes Passwort hätte dem Angreifer bei SELinux nichts
genutzt. Weil er dem Kernel keine Signale hätte senden können.
selbst wenn der das Root-Passwort gesnifft hätte. 

Olaf