sslug-teknik team mailing list archive

[Morten Olsen <pbk1105@xxxxxxxxxxxxxx>]

Jon Bendtsen wrote:
> > > Løsningen på kort sigt må være at undlade at bruge moduler, altså, compile
> > > den support for hardware ind i kernen som du skal bruge.
> >
> > Næh, det er ikke nogen særlig god løsning, og kan fx. ikke bruges med
> > PNP hardware.
> hmm, det var sku da uheldigt, og dog, for jeg ved at både mit scsi kort og
> mit lydkort er pnp, og de er begge compilet ind i kernen, så det tror jeg
> sku ikke på du.

Fra Configure.help
" If you have a PnP sound card and you want to configure it at boot
  time using the ISA PnP tools, then you need to compile the sound card
  support as a module ( = code which can be inserted in and removed
  from the running kernel whenever you want) and load that module
  after the PnP configuration is finished."

Er du sikker på dit lydkort ikke er PCI?

> > Istedet for benytter man sig af securelevel begrebet, findes i 2.2.11+
> > og 2.3.12+
> gider du forklare mere om securelevel ??

Stammer fra BSD verdenen. Kan nok bedst beskrives som en slags
"skralde-mekanisme (skrald som i skraldenøgle). Du kan kun skrue den den
ene vej. I slutningen af bootsekvensen sætter init securelevel op, fx.
således at root ikke kan loade moduler. Og bagefter kan heller ikke root
sætte securelevel nedad.
 
> > "Put ~(1 << CAP_SYS_MODULE) (actually 4294901759) into
> > /proc/sys/kern/cap_bset to disable the usual kernel module mechanism.
> >
> > Send ~(1 << CAP_SYS_RAWIO) (4294836223) in there to protect direct
> > against
> > hardware access, and /dev/port, /dev/kmem, /dev/mem and (as of
> > 2.3.14pre1)
> > /proc/kcore."

Dvs. når man har gjort dette, kan root ikke omgøre det, og man har
derfor lukket for modifikation af kernen.

>
> > > links af interresse:
> > > http://www.kt.opensrc.org/kt19990830_32.html
> > > http://www.geog.ubc.ca/snag/bugtraq/msg00788.html
> > > http://www.phrack.com/search.phtml?view&article=p52-18
> >
> > http://kernelnotes.org/lnxlists/linux-kernel/lk_9908_03/msg00549.html
> >
> > vil give dig adgang til den fulde diskussion, hvor de kan bla. også kan
> > finde det ovenstående citat.
> >
> > Ærlig talt virker det ret tåbeligt at KT ikke har links til de originale
> > diskussioner, især når de er summariseret så kraftigt (og forkert) som
> > her.
> hvordan er de summariseret forkert ??

Tråden startede ca. som den var summariseret i KT, "åh nej man kan lave
et modul der skjuler ting", med et svar ikke så langt efter at "no
problem, brug securelevel" og en masse andre der svar med "so what",
lidt i stil med Mads og undertegnede der mener at er root først
komprimiteret, så er du fucket lige meget hvad.

Medmindre du har dit root drev på en CD-ROM eller på anden måde fysisk
skrivebeskyttet, er det nemmere blot at erstatte ps/netstat/osv. med
hackede versioner, end at skulle til at lave kerne programmering.

Mvh Morte 

> ion++