Mini distribucia linuxu bez multitaskingu (neviem ci existuje...).

[Michal Ludvig]

Milan Roubal wrote:
 >> [gkrellm]

> Tohle vypada vice nez zajimave. Pokud si tedy udelam takto opatchovanou

> masinu a dam si do kernelu firewall + treba preklad adres (nebo i bez nej), 

 > tak utocnik nema moc sanci jak takovou masinu hacknout (napada me
 > pouze jedina a to nacpat si ten shell do kernelu pres nejakou chybu v 
 > kernelu po siti). Ma to nejake nevyhody udelat firewall timto zpusobem
 > pominuli ze zmena konfigurace znamena reboot masiny?

Rekonfigurace nemusi znamenat reboot - muze to fungovat podobne jako 
konfigurace vsemoznych switchu a podobnych pristroju: proste prikazova 
radka s prislusnymi built-in prikazy, pristupna pravdepodone pouze z 
konzole.
Ciste teoreticky vsak stale muzete donutit tento jediny proces, aby 
provedl exec() na vas kod - tim padem nezvysite pocet procesu a jadro 
nic nepozna. Je jiste mozne exec() po spusteni toho jednoho procesu 
zablokovat uplne a pak bych docela veril, ze to pomerne bezpecny 
firewall bude.
Samozrejme pokud nebude v kernelu zrovna podobna chyba jako v soucasnych 
2.4.x, kde se pomoci vhodnych ICMP paketu necha cist prakticky libovolny 
kus pameti.

Michal Ludvig
--
* If it's there and you can see it, it's REAL
* If it's there and you can't see it, it's TRANSPARENT
* If it's not there and you can see it, it's VIRTUAL
* If it's not there and you can't see it, it's GONE!