Mini distribucia linuxu bez multitaskingu (neviem ci existuje...).
Michal Ludvig
michal-linux na logix.cz
Úterý Leden 22 10:34:50 CET 2002
Milan Roubal wrote:
>> [gkrellm]
> Tohle vypada vice nez zajimave. Pokud si tedy udelam takto opatchovanou
> masinu a dam si do kernelu firewall + treba preklad adres (nebo i bez nej),
> tak utocnik nema moc sanci jak takovou masinu hacknout (napada me
> pouze jedina a to nacpat si ten shell do kernelu pres nejakou chybu v
> kernelu po siti). Ma to nejake nevyhody udelat firewall timto zpusobem
> pominuli ze zmena konfigurace znamena reboot masiny?
Rekonfigurace nemusi znamenat reboot - muze to fungovat podobne jako
konfigurace vsemoznych switchu a podobnych pristroju: proste prikazova
radka s prislusnymi built-in prikazy, pristupna pravdepodone pouze z
konzole.
Ciste teoreticky vsak stale muzete donutit tento jediny proces, aby
provedl exec() na vas kod - tim padem nezvysite pocet procesu a jadro
nic nepozna. Je jiste mozne exec() po spusteni toho jednoho procesu
zablokovat uplne a pak bych docela veril, ze to pomerne bezpecny
firewall bude.
Samozrejme pokud nebude v kernelu zrovna podobna chyba jako v soucasnych
2.4.x, kde se pomoci vhodnych ICMP paketu necha cist prakticky libovolny
kus pameti.
Michal Ludvig
--
* If it's there and you can see it, it's REAL
* If it's there and you can't see it, it's TRANSPARENT
* If it's not there and you can see it, it's VIRTUAL
* If it's not there and you can't see it, it's GONE!
Další informace o konferenci Linux