/dev/mem (was: SucKIT)

Jirka Kosina jikos na jikos.cz
Čtvrtek Březen 28 21:39:07 CET 2002 

On Thu, 28 Mar 2002, Pavel Kankovsky wrote:

> > Finta LIDSu je prave v tom, ze dovoluje capabilitu pridelit pouze
> > vyjmenovanym procesum, takze v pripade, ze se nekdo uspesne prohackuje
> > na roota [...]
> Jakykoli pristup postaveny na podobne uvaze je pomyleny. Unixovy root je

Kazdopadne je hodne paranoidni, a mozna trosku zavani security by 
obscurity, ale stejne mam za to, ze ho lze pri trose snahy nakonfigurovat 
tak, aby to skutecne bylo neprustrelnejsi, nez "default".

> Nemuzu zapisovat do /dev/kmem? Tak zapisu do /dev/hda.

Zapis do /dev/hda lze take selektivne zakazat (resp. defaultne zakazat a 
selektivne (na proces) povolit).

> Nebo do /boot/vmlinuz. 

Jasne. Ovsem aby tady zpusobena nekalost nabyla ucinnosti, bylo by potreba 
prebootovat...coz ale jak vime muzeme omezit pouze na moznost lokalniho 
bootu z konzole.

> Nebo do /lib/modules/... Nebo do /lib/libc.so.6.

No, bez zakazanych modulu je fakt, ze asi nema prilis cenu vubec o LIDSu 
premyslet (i kdyz mame samozrejme CAP_SYS_MODULES ;) ), protoze 
presmerovat syscall na svoji nehlidanou variantu fakt neni problem.

V beznem rezimu IMHO neni potreba mit povolen zapis do 
/lib/libc.so.6... ?


Tak jak je to (AFAIK) udelano v LIDSu je mozne si vybrat, jestli ma byt 
mozno z "secured" behu jadra prejit do "insecured", nebo to jit vubec 
nema, a resenim se prepnout jinam je jedine boot.

Pokud clovek vi co dela, tak nemusi byt podle mne uplne spatne si v 
"secured" behu nastavit skutecne jen zapis do souboru, kam je 
bezpodminecne nutne ho mit nastaven (navic jen selektivne pro procesy), 
pokud jde o nejaky exponovany pocitac, ukladajici napriklad nejaka 
choulostiva data...je to na rootovi, aby posoudil, zda mi ten velice 
snizeny komfort za ten "pocit jistoty a bezpeci" ;) stoji.

> Nebo se pres ptrace() napichnu na cizi proces. 

Coz neni taky asi nutne mit povolene, zvlast na nejakych serverech, kde se 
nic nedebuguje. Nebo ne?


Nechci, abych vypadal jako agent prodavajici LIDS ;) - nepouzivam ho, a
pouzivat nehodlam. Jen jsem, kdyz uz tady na to prisla rec, se o nem
zminil jako o alternative, ktera, kdyz se IMHO dobre nastavi, muze
potencionalnimu utocniku prunik hodne znesnadnit, ale ani v nejmensim
netvrdim, ze je to nejaka prevratna bezpecnostni koncepce. Nicmene mi na 
druhou stranu soucasna prace s capabilitami pripada taky ponekud pod 
urovni.

-- 
JiKos.

Další informace o konferenci Linux