[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OT: Das Deselektieren von Kernel 2.6 Modulen



Also sprach Andreas Pakulat <apaku@gmx.de> (Mon, 27 Mar 2006 02:10:56
+0200):
> On 27.03.06 01:35:20, Richard Mittendorfer wrote:
> > Also sprach Andreas Pakulat <apaku@gmx.de> (Mon, 27 Mar 2006
> > 01:18:48 +0200):
[...]
> > > Naja, solange der Kernel es nur root erlaubt Module zu laden ist
> > > das
> >
> > Der module autoloader (frag' mich nicht, wie der zu manipulieren
> > sei).
> 
> Aehm, ich mag mich ja irren, aber dafuer muessten die Module erstmal
> in /lib/modules/<uname -r>/ liegen und die Module Dependecies
> upgedated werden oder? Dann hat der Angreifer schon root-Zugang und es
> ist eh alles zu spaet.

Ohne root seh ich auch keine Probleme. Ich will keinesfalls bestreiten,
das root direktes Handeln in den meisten Faellen bevorzugen wird. Und
ich weiss nicht, wieweit Schwachstellen im userspace (tools wie udev,
hotplug oder depmode) da mitspielen koennten. Ich sehe in "einem Kernel
mit Modulen" sicherlich kein hier greifendes Sicherheitrisiko...

> > > kein soo grosses Problem. Beziehungsweise wenn der Eindringling
> > > schon root ist ist das kleinste Uebel wohl ob er ein Modul laden
> > > darf...
> > 
> > Und, du bist dann schoen im System eingebettet -- ohne wirkliche
> > Chance von einem anti-rootkit Tool oder Sysadmin leicht entdeckt zu
> > werden.
>  
> Ich hab mich mit der Materie noch nie derart intensiv beschaeftigt
> aber ich denke wer erstmal auf einem System beliebige Programme
> starten kann und sei es auch nur als "nobody", der hat schon fast
> gewonnen.

Nobody ist nunmal auch kein so Nobody. Dennoch halte ich das fuer zu
pessimistisch. Deswegen ist auf meinen (privaten, ich hab keine anderen)
Dektops einen fuer Besucher aller Art zugaenglichen Gast-Account. 

Ich will ja auch garnicht wissen, was fuer keylogger mensch sich da mit
FF extensions einfangen kann.. potzblitz.. Konto leergeraeumt.. *g*
Und ein geladenens Evil module[tm] saesse da zweifellos ziemlich nahe an
der Quelle.

Hmm, ich hab im Augenblick keine Ahnung, was mein nvidia Modul gerade 
so treibt. </paranoia> ;-)  

> Und rootkit-Checker kann man doch wohl auch ohne Kernel-Modul ganz gut
> austricksen, oder irre ich da?

Ich meinte nicht unbedingt sowas wie chkrootkit. Nehm da gern
geeigneteres wie signen oder etwas db-basierendes ala integrit und
tripwire. Kommt auch den Even more evil modules[tm] und den eigenen
Ungeschicklichkeiten* auf die Schliche. :-)

*"Was hab ich vorgestern nur verstellt, weil heut nix mehr geht?"

> Andreas

gruss. ritch



Reply to: