[linux-l] Einige Fragen zu GRsecurity...

Steffen Schulz pepe_ml at gmx.net
Mi Jan 21 16:30:42 CET 2004


On 040121 at 02:50, Peter Ross wrote:
> On Wed, 21 Jan 2004, Steffen Schulz wrote:
> 
> > Du musst halt nen genaues Ziel haben. zB für RootKits überlegen, wie
> > diese eingebunden werden können und u.a. /dev/kmem für root nicht
> > schreibbar machen.
> >
> > (Kopfschüttelnde Kernel-Hacker mögen mich berichtigen :) )
> 
> Genau Root-Kits verhindern und Kernelschreiben kann FreeBSD mit chflags
> und Securelevel seit einigen Jahren..

> GRSecurity und SE Linux etc. sind sehr maechtig, aber um _dieses_ Ziel zu
> erreichen, geht es viel einfacher. Das ist mit Spatzen nach Kanonen werfen
> oder war's andersrum?

Es geht einfacher, aber wenn man halt noch mehr will? W^X oder wie sich
das nennt ist für OpenBSD meines Wissens recht neu. Die Funktionalität
gab es in ähnlicher Form bereits für Linux. Und es gibt noch ne Menge
mehr Features, die durch grsecurity implementiert werden. Du sitzt ja
offenbar auch öfter an Linux-Kisten, einfach mal die Quellen patchen
und dann in der Hilfe zu den einzelnen Punkten nachlesen. Sind wirklich
viele gute Sachen. Einiges davon gibt es meines Wissens auch nicht für
*BSD.

Die ACLs sind noch nen anderes grosses Gebiet. Mit diesen Capabilities
scheint man das erschlagen zu wollen, was zB ein GNU/Hurd-System einem
bringen würde. Prozesse laufen nur noch mit genau den von ihnen
benötigten Rechten und haben nur auf ihre eigenen Dateien Zugriff.
Root ist tot. Im Grunde höchst effektiv.

Zusammen mit den Kernel-features und vernünftiger Konfiguration würde
ich das schon als ziemlich sicher einschätzen. Auch gegenüber noch
unbekannten Schwachstellen und Leuten, die sich ihre Exploits generell
selbst programmieren und von Hindernissen eher noch motiviert werden.

Mit securelevel muss man glaub ich auch rebooten, wenn man dann doch
was ändern will. Grsecurity kann einem mit einem gesondertem PW wieder
komplette Rechte verschaffen. Vor- und Nachteil.

> Ich verstehe den Verkomplizierungswahn der Linuxianer nicht. Nichts gegen
> solche komplexen Gebilde, fuer z.B. "verteiltes" Administrieren ist das
> schon fein, aber warum wird nicht das Einfache zuerst gemacht?

Tja...die Linuxianer implementieren halt lieber eine allgemeine Lösung,
anstatt sich an jeder Ecke was neues auszudenken ;)



mfg
pepe
-- 
No matter where you are... Everyone is always connected.
				- Serial Experiments Lain



Mehr Informationen über die Mailingliste linux-l