sslug-teknik team mailing list archive

Thread
Date

re: modul sikkerhed

To: sslug-teknik@xxxxxxxx
From: Jon Bendtsen <bendtsen@xxxxxxx>
Date: Wed, 1 Sep 1999 20:02:21 +0200 (METDST)
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm


> Ja, og pointen er?? Med kernekode er det smuligt at gøre alt. Du ved
> selvfølgelig godt at det kun er root der kan indsætte moduler, ik?
ja, gu ved jeg sku da det,

> Hvis en cracker _er_ blevet root er der så mange måder han kan more sig
> på, fx. cat /dev/urandom /dev/hda eller lign. 
det ville da være latterligt, hvorfor ødelægge din vært, det er sku da den
direkte vej til opdagelse. Næ du, jeg anser crackere som snyltere der
"låner" af din ram, din cpu, din netforbindelse, ... samt, men måske det
værste :(
*trommevirvel*
hvis din maskine er cracket, og der ikke er spor efter det, hvem får så
skylden når "du" cracker nationalbanken og overfører pengene til FÆøerne
;-0 (ikke et ondt ord om folk fra fæerøerne)

> > Løsningen på kort sigt må være at undlade at bruge moduler, altså, compile
> > den support for hardware ind i kernen som du skal bruge.
> 
> Næh, det er ikke nogen særlig god løsning, og kan fx. ikke bruges med
> PNP hardware.
hmm, det var sku da uheldigt, og dog, for jeg ved at både mit scsi kort og
mit lydkort er pnp, og de er begge compilet ind i kernen, så det tror jeg
sku ikke på du.

> Istedet for benytter man sig af securelevel begrebet, findes i 2.2.11+
> og 2.3.12+
gider du forklare mere om securelevel ??

> "Put ~(1 << CAP_SYS_MODULE) (actually 4294901759) into
> /proc/sys/kern/cap_bset to disable the usual kernel module mechanism.
> 
> Send ~(1 << CAP_SYS_RAWIO) (4294836223) in there to protect direct
> against
> hardware access, and /dev/port, /dev/kmem, /dev/mem and (as of
> 2.3.14pre1)
> /proc/kcore."
> 
> > links af interresse:
> > http://www.kt.opensrc.org/kt19990830_32.html
> > http://www.geog.ubc.ca/snag/bugtraq/msg00788.html
> > http://www.phrack.com/search.phtml?view&article=p52-18
> 
> http://kernelnotes.org/lnxlists/linux-kernel/lk_9908_03/msg00549.html
> 
> vil give dig adgang til den fulde diskussion, hvor de kan bla. også kan
> finde det ovenstående citat.
> 
> Ærlig talt virker det ret tåbeligt at KT ikke har links til de originale
> diskussioner, især når de er summariseret så kraftigt (og forkert) som
> her.
hvordan er de summariseret forkert ??


ion++

Follow ups

Re: re: modul sikkerhed
From: Morten Olsen, 1999-09-02
Re: re: modul sikkerhed
From: Mads Bondo Dydensborg, 1999-09-01