В связи с последним эксплоитом:
1. на машинах, где штатные ядра (они все Intel) - ядра обновил до
linux-image-2.6.18-6-686 (2.6.18.dfsg.1-18etch1) - теперь эксплоит не
работает, всё Ок.
2. на некоторых роутерах ядра с патчами ipset и т.д. - попробовал
пересобрать с патчем, все Ок, но эксплоит всё же работает! В связи с
этим вопрос, что я делал не так?
Расскажу как делал:
1. зашёл на http://packages.debian.org/etch/linux-image-2.6.18-6-k7 и
справа под "Загрузка пакета исходного кода linux-2.6:" скачал:
-
http://ftp.de.debian.org/debian/pool/main/l/linux-2.6/linux-2.6_2.6.18.dfsg.1.orig.tar.gz
-
http://ftp.de.debian.org/debian/pool/main/l/linux-2.6/linux-2.6_2.6.18.dfsg.1-18etch1.diff.gz
-
http://ftp.de.debian.org/debian/pool/main/l/linux-2.6/linux-2.6_2.6.18.dfsg.1-18etch1.dsc
2. распаковал, применил патчи Debian
# cd /usr/src
# tar xfz linux-2.6_2.6.18.dfsg.1.orig.tar.gz
# rm -f linux && ln -s linux-2.6-2.6.18.dfsg.1 linux
# cd linux-2.6-2.6.18.dfsg.1
# zcat ../linux-2.6_2.6.18.dfsg.1-18etch1.diff.gz | patch -p1
3. скачал исходники iptables (без них не применяется patch-o-matic-ng),
patch-o-matic-ng-20071022.tar.bz2 (последний
patch-o-matic-ng-20080214.tar.bz2 вызывал ошибки компиляции), настроил
iptables, применил нужные патчи patch-o-matic-ng.
4. взял за основу конфиг штатного ядра /boot/config-2.6.18-6-k7, включил
в конфиге опции применённых патчей:
# cd /usr/src/linux
# cp /boot/config-2.6.18-6-k7 .
# cp config-2.6.18-6-k7 .config
# make menuconfig
# diff .config config-2.6.18-6-k7
3,4c3,4
< # Linux kernel version: 2.6.18.set+ipm+acc+conl+cond01
< # Mon Feb 18 17:14:53 2008
---
# Linux kernel version: 2.6.18
# Sun Feb 10 22:04:30 2008
521d520
< CONFIG_NETFILTER_XT_MATCH_CONDITION=m
582,597d580
< CONFIG_IP_NF_SET=m
< CONFIG_IP_NF_SET_MAX=256
< CONFIG_IP_NF_SET_HASHSIZE=1024
< CONFIG_IP_NF_SET_IPMAP=m
< CONFIG_IP_NF_SET_MACIPMAP=m
< CONFIG_IP_NF_SET_PORTMAP=m
< CONFIG_IP_NF_SET_IPHASH=m
< CONFIG_IP_NF_SET_NETHASH=m
< CONFIG_IP_NF_SET_IPPORTHASH=m
< CONFIG_IP_NF_SET_IPTREE=m
< CONFIG_IP_NF_SET_IPTREEMAP=m
< CONFIG_IP_NF_MATCH_SET=m
< CONFIG_IP_NF_TARGET_SET=m
< CONFIG_IP_NF_TARGET_ACCOUNT=m
< CONFIG_IP_NF_TARGET_IPMARK=m
< CONFIG_IP_NF_MATCH_CONNLIMIT=m
1145c1128
< # CONFIG_BLK_DEV_IDEPNP is not set
---
CONFIG_BLK_DEV_IDEPNP=m
1169a1153
CONFIG_BLK_DEV_JMICRON=m
1250a1235
CONFIG_SCSI_ARCMSR=m
2234a2220
# CONFIG_I2C_ELEKTOR is not set
2324a2311
# CONFIG_SENSORS_F75375S is not set
2351a2339
CONFIG_SENSORS_W83793=m
3293a3282
# CONFIG_ASFS_FS is not set
3475d3463
< # CONFIG_SECURITY_SECLVL is not set
5. Собрал ядро так:
# cd /usr/src/linux
# make-kpkg --initrd --append-to-version .set+ipm+acc+conl+cond01
kernel_image
# cd ../
# ls -la linux-image*.deb
-rw-r--r-- 1 root src 16555298 2008-02-18 17:16 linux-image-2.6.18.set
+ipm+acc+conl+cond01_2.6.18.dfsg.1-18etch1_i386.deb
Далее, устанавливаю это ядро на машину перегружяюсь, пробую эксплоит -
работает!
Что не так делал?
Чем отличаются исходники скачанных ядер orig.tar.gz + diff.gz от от тех,
что ставятся с пакетом linux-source?