zapekl. problem a +i file
Jakub Jelinek
jj na sunsite.ms.mff.cuni.cz
Čtvrtek Listopad 28 23:16:30 CET 1996
>
> Jakub Jelinek writes:
> > Reseni bych spis hledal v oblasti kernel security levelu (jeste uplne
> > nedopsano), immutable filu, etc. Treba si v kernelu hlidat, ktery proces
> > muze pristupovat na paralelni port (a treba to dovolit pouze tasku
> > /verysecureprogram). Ten pak udelat immutable, zmenit v kernelu neco tak, aby
> > mimo security level 0 nepovolil chattr na file (nebo staci jen zmena z
> > immutable na neimmutable) a smazani immutable filu.
>
> Toto uz v jadre je, akurat je nedoriesena kontrola zmeny securelevel. Cez
> sysctl to je osetrene (znizit moze iba init), ale nie je vyrieseny zakaz
> zapisu do /dev/kmem a /dev/hd*.
Alespon kdyz jsem se do ext2fs koukal naposledy, tak dovolilo rootovi menit
chattr kdykoli. No, a jelikoz neexistuje lockovani raw devicu, tak je
vsechno stejne na nic... Viz napr. FIBMAP nebo e2fstools,
clovek si zjisti velice jednoduse, kde dana vec lezi, no a uz to tam masti...
Ono by to chtelo i dalsi veci, napr. securelevel zavisly ptrace syscall (aby
nikdo nemohl attachnout gdb k procesu, ke kteremu to neni chtene, atd.)
.u$e.
Cheers .$$$$$:S
Jakub $"*$/"*$$
$.`$ . ^F
4k+#+T.$F
-------------------------------------------------------------- 4P+++"$"$ ---
Jakub Jelinek, jj na sunsite.mff.cuni.cz :R"+ t$$B
Administrator of SunSITE Czech Republic ___# $$$
MFF, Charles University, Prague | | R$$k
---------------------------------------------------------- dd. | Linux $!$
Give your Sparc a new beginning - SparcLinux ddd | Sparc $9$F
-------------------------------------------------------- '!!!!!$ !!#!`
!!!!!* .!!!!!`
'!!!!!!!W..e$$!!!!!!`
"~^^~ ^~~^
Další informace o konferenci Linux