[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Nach neuem Kernel keine Mailzustellung mehr möglich

On 11.12.05 14:11:24, Matthias Haegele wrote:
> Andreas Pakulat schrieb:
> >On 11.12.05 14:05:36, Matthias Haegele wrote:
> >>OT: Gegenfrage: Können (nicht benötigte) Module ein "Sicherheitsproblem" 
> >>darstellen,
> >Ja, wenn sie Sicherheitsluecken aufweisen und geladen sind.
> >>oder kann ich einfach "alles in Module reinpacken"?
> >Das macht nicht sehr viel Sinn und ist auch nicht moeglich, da sich
> >AFAIK einige ausschliessen.
> >>Später könnte ich ja auch "nichtbenötigte Module zum Laden blocken" oder?.
> >Nein, du kannst das Laden mittels hotplug unterbinden, aber solange das
> >Modul in /lib/modules liegt kann man es mit modprobe oder insmod laden.
> 
> "Irgendwo" hab ich mal was gehört, dass manche (auf Servern) einen Kernel ohne 
> ladbare Module kompilieren "aus Sicherheitsgründen" um das Nachladen von 
> Modulen zu unterbinden.

Ja es gab z.B. mal einen Exploit der nur in Kerneln mit Modul-Support
enthalten war. Allerdings brauchte man auch da "physischen" Zugriff auf
den Rechner und in dem Fall ist eigentlich sowieso alles zu spaet...

> (Oder bei Zugriff auf die Maschine durch "SW-Lücken" dieses zu unterbinden).
> Solange das aber "aus der Ferne" nicht ohne weiteres möglich ist "tangiert 
> mich das nur sekundär". Deshalb die Frage.

Ich baue vor allem deshalb Kernel mit wenig Modulen, weil man sich dann
nicht um hotplug kuemmern muss (das evtl. bestimmte Module nicht
geladen werden)...

Andreas

-- 
Courage is your greatest present need.
Reply to: