Prunik do RH 7.2

[Jirka Kosina]

On Tue, 13 Aug 2002, Dracula007 wrote:

> A jeste jedno upozorneni - to ze vypnete pri kompilaci kernelu podporu
> modulu neni neprustrelna obrana. Dostatecne sikovny hacker do kernelu
> ten modul stejne dostane. Jak to udelat, to se me neptejte,

No, to je, spise tak nejak terminologicky, trosku nepresne. Pokud je 
vypnuta v kernelu podpora modulu (CONFIG_MODULES), tak skutecne jako 
takovy se klasicky ELFovsky .o nehrat neda.
Nicmene lze docilit jisteho ekvivalentu, a to primo zmenou kodu kernelu, 
ktery je natazen v pameti. Neni to zdaleka tak trivialni, jako nahrani 
modulu, ale zase na druhou stranu se tim oteviraji daleko vetsi moznosti 
;)

> podrobnosti jsem zatim nezkoumal (lenost je hrozna vlastnost, ja vim),
> nicmene nekde na Netu o tom urcite najdete vic. Pokud si dobre

http://www.phrack.org/show.php?p=58&a=7

> se to jmenovalo) o tom najdete vic. Ukazovali tam cachry s LKM, ci jak
> se ten modul jmenuje.

LKM je zkratka za Loadable Kernel Module, cili to, co lze v kernelu 
vypnout, a pak se s tim velice obtizne delaji cachry, kdyz v kernelu chybi 
prislusny kod, ktery by s LKM umel zachazet ;)

Zabranit (alespon castecne) i on-the-fly patchovani kernelu lze ruznymi 
patchi, jako je napriklad LIDS (viz nejaky starsi thread zde v konferenci, 
kde se debatovalo o tom, zda-li jsou takovato reseni cista a filosoficky 
spravna ;) ), RSBAC, apod.

-- 
JiKos.