/dev/mem (was: SucKIT)
Jirka Kosina
jikos na jikos.cz
Čtvrtek Březen 28 01:37:58 CET 2002
On Wed, 27 Mar 2002, Pavel Kankovsky wrote:
> > Kdyby fungovaly v kernelu nejak rozumne capability (o coz se mimo jine
> > prave LIDS snazi), tak by to bylo celkem jednodusse resitelne - procesum,
> > ktere to skutecne nezbytne potrebuji, by se (za predpokladu, ze by
> > neexistovalo zadne API) proste pridelila CAP_SYS_RAWIO, a hotovo.
> Primy pristup na I/O je v principu stejne nebezpecny, jako primy pristup
> do pameti jadra (resp. fyzicke pameti). What's the point?
Vpodstate jsem chtel upozonit na to, ze v LIDSu je mozne pridelovat
capability jednolivym procesum, nikoliv je lcapem odejmout z celeho
systemu, a smytec.
Mam pocit (zdrojaky LIDSu ted po ruce nemam), ze si autori vymysleli
nejake dalsi svoje capability, ktere prave odpovidaly povoleni prace s
/dev/[k]mem, a tusim to byla prave podmnozina CAP_SYS_RAWIO. Finta LIDSu
je prave v tom, ze dovoluje capabilitu pridelit pouze vyjmenovanym
procesum, takze v pripade, ze se nekdo uspesne prohackuje na roota presd
neco jineho, nez je ten proces, ktery ma capabilitu (at uz jakoukoliv),
umoznujici praci s /dev/[k]mem, tak mu to stejne nebude platne. Cili to
puvodni problem neresi docela (stale je to prustrelne pres ten proces,
ktery tu capabilitu vlastni), ale pouhe ziskani roota na nainstalovani
rootitu tohoto typu nestaci. A o to myslim puvodnimu tazateli slo.
--
JiKos.
Další informace o konferenci Linux