sslug-teknik team mailing list archive

[root <pbk1105@xxxxxxxxxxxxxx>]

Jon Bendtsen wrote:
> 
> quote fra       http://www.kt.opensrc.org/kt19990830_32.html
> 
> kort fortalt. Hvis en cracker får adgang til din maskine er det RET let at
> loade et modul der vil give ham/hende adgang igen, samt skjule at
> vedkommende er der, ved at modificere systemkald i den kørende kerne. Det
> hele kan klares med et enkelt modul der bare skal loades.

Ja, og pointen er?? Med kernekode er det smuligt at gøre alt. Du ved
selvfølgelig godt at det kun er root der kan indsætte moduler, ik?

Hvis en cracker _er_ blevet root er der så mange måder han kan more sig
på, fx. cat /dev/urandom /dev/hda eller lign. 

> Løsningen på kort sigt må være at undlade at bruge moduler, altså, compile
> den support for hardware ind i kernen som du skal bruge.

Næh, det er ikke nogen særlig god løsning, og kan fx. ikke bruges med
PNP hardware.

Istedet for benytter man sig af securelevel begrebet, findes i 2.2.11+
og 2.3.12+

"Put ~(1 << CAP_SYS_MODULE) (actually 4294901759) into
/proc/sys/kern/cap_bset to disable the usual kernel module mechanism.

Send ~(1 << CAP_SYS_RAWIO) (4294836223) in there to protect direct
against
hardware access, and /dev/port, /dev/kmem, /dev/mem and (as of
2.3.14pre1)
/proc/kcore."

> links af interresse:
> http://www.kt.opensrc.org/kt19990830_32.html
> http://www.geog.ubc.ca/snag/bugtraq/msg00788.html
> http://www.phrack.com/search.phtml?view&article=p52-18

http://kernelnotes.org/lnxlists/linux-kernel/lk_9908_03/msg00549.html

vil give dig adgang til den fulde diskussion, hvor de kan bla. også kan
finde det ovenstående citat.

Ærlig talt virker det ret tåbeligt at KT ikke har links til de originale
diskussioner, især når de er summariseret så kraftigt (og forkert) som
her.

Mvh Morten