[linux-l] Virtueller Server - Mal wieder

[Wilhelm Dolle]

Steffen Schulz schrieb:
> On 070311 at 20:20, Wilhelm Dolle wrote:
>> Steffen Schulz schrieb:
>>>>   http://theinvisiblethings.blogspot.com/2006/06/introducing-blue-pill.html
>>> http://www.matasano.com/log/680/detecting-virtualized-rootkits/
>>>
>>> Das ist aber momentan noch so halb-akademischer Bereich. Wer sich um
>>> sowas kuemmert hat auf jeden Fall sowas wie GRSec oder SELinux laufen.
>> Und das würde speziell bei den in den oben genannten Links genannten
>> Techniken / Rootkits genau was an Mehrwert bringen?

[...]

> Aber Hand aufs Herz: Wie oft im Monat bootest du deine Rechner von
> CD und untersuchst sie auf Manipulation?

Mehrmals im Monat, meine Rechner sind allerdings keine Server im
Produktiveinsatz, können das also ab ;)

> Ein solches installiertes Rootkit setzt vorraus, dass Schadsoftware mit
> entsprechenden Rechten ausgefuehrt wurde. Sie selbst auszufuehren ist
> keines meiner Hobbies, aber ich hoere oefter davon das andere sowas
> machen. Wenn du zu den Leuten gehoerst, die sowas nicht machen, bleibt
> noch Code-Injection und Rechte-Eskalation durch Bugs in Software, Bugs
> in Konfigurationen, Bugs in Konzepten.

Die Gefahren sind mir durchaus bekannt.

> In diesem Sinne ist GRSec oder SELinux durchaus eine Moeglichkeit,
> (auch) solche Sachen abzuwenden/einzudaemmen, oder nicht?

Bekanntlich gibt es dazu unterschiedliche Meinungen.

Meine Frage zielte eher auf das von Dir in die Diskussion eingebrachte
Paper und den Verweis auf GRsec und SELinux. Ich kümmere mich um "sowas"
und hab beides nicht laufen - läuft ja auch im Unterschied zu beiden im
Artikel genannten Rootkits auch nicht unter Windows ;-)

Herzliche Gruesse,

Willi
-- 
Wilhelm Dolle - http://www.dolle.net