[linux-l] Einige Fragen zu GRsecurity...
Steffen Schulz
pepe_ml at gmx.net
Mi Jan 21 02:08:01 CET 2004
On 040120 at 23:55, Oliver Beck wrote:
> On Tue, 20 Jan 2004 22:25:37 +0100 Thomas Knop <tknop at maxrelax.de> wrote:
>
> > Speziefische Regeln vor allgemeinen.
> Das soll heissen, das ich erst die ganzen ACL's für die einzelnen
> Subjekte eintragen soll, und später erst die Default-ACL's?
> Kann ich mir schlecht vorstellen, da ich es von iptables kenne, das die
> letzte Regel gild. Nun, iptables ist kein GRsec und somit mag ich da
> sicher auch falsch liegen, aber (für mich) wäre dies logischer.
Nicht die erste/letzte.
Die genaueren Regeln(programmspezifisch) können aber die
allgemeinen ausser Kraft setzen. Die Regeln werden vererbt, aber wenn
Einstellungen neu vorgenommen wurden, werden die ererbten damit
überspielt.
> Mir geht es primär darum, 'root' zu entmachten.
Soweit ich das gesehen&verstanden habe, gibts ab gradm2.0 die
Möglichkeit, diese ACLs auf User anzuwenden. Demnach würdest du
root einfach ein paar Capabilities wegnehmen und gewisse Dateien nicht
einsehbar machen. Grsec kann genau das. Wenn das mit dem User so nicht
geht, schaust du dir halt die potentiell gefährlichen Programme an und
gibst ihnen nur genau die Rechte, die sie benötigen. chroots machen
sich dafür sicher sehr gut, die werden vom Kernelpatch ja auch noch
weiteren Restriktionen unterworfen.
Du musst halt nen genaues Ziel haben. zB für RootKits überlegen, wie
diese eingebunden werden können und u.a. /dev/kmem für root nicht
schreibbar machen.
(Kopfschüttelnde Kernel-Hacker mögen mich berichtigen :) )
Interessant wäre vielleicht auch, ob man dann als degradierter root
mittels alias gradm='/tmp/.skript.sh' das grsec-pw abhören kann.
Hab ich nicht probiert...
> Die netten Beigaben, die mir GRsec bringen (Speicherschutz [PaX],
> CHROOT-Schutz, etc.) sind natürlich nicht verachtenswert.
> Aber diese sind wesentlich einfacher umzusetzen als ACL's zu
> basteln/ihre Syntax zu verstehen.
Und du willst lieber das komplizierte machen...okay...klar... :)
mfg
pepe
--
No wonder we all hate those teachers so much: we have a dim, masked
memory of what they've done to us in converting us into good and
faithful servants for the Illuminati.
Mehr Informationen über die Mailingliste linux-l