On Thu, Oct 25, 2001 at 12:48:02AM +0200, Janto Trappe wrote: > Das hilft aber nur gegen Script Kiddies. Wenn ueberhaupt... > Besser ist LIDS. IMHO _noch_ besser ist grsecurity. Guck mal auf www.grsecurity.net. Der Patch macht viele interessante Dinge: Gruppen wie noexec, nosocket, untrusted, trusted (untrusted darf z.B. nur (rwxr-xr-x root.root" binaries ausführen) (nosocket darf keine Verbindungen nach aussen öffnen) PAX buffer overflow protection randomized PIDs und mmap positions various restrictions for chroot() various restrictions for suid binaries (no exec, no chmod, etc...) /tmp race protection (prevents following a symlink in a +t directory you don't own) /proc restrictions fork bomb protection exec, suid exec, signal, time change, fork failure, etc. logging enhanced network randomness, stealth uvm. Sehr praktisch und funktioniert hier ziemlich gut. -- Jens Benecke ········ http://www.hitchhikers.de/ - Europas Mitfahrzentrale Crypto regulations will only hinder criminals who obey the law.
Attachment:
pgpxGG0UIGp3L.pgp
Description: PGP signature