/dev/mem (was: SucKIT)
Jirka Kosina
jikos na jikos.cz
Čtvrtek Březen 28 21:39:07 CET 2002
On Thu, 28 Mar 2002, Pavel Kankovsky wrote:
> > Finta LIDSu je prave v tom, ze dovoluje capabilitu pridelit pouze
> > vyjmenovanym procesum, takze v pripade, ze se nekdo uspesne prohackuje
> > na roota [...]
> Jakykoli pristup postaveny na podobne uvaze je pomyleny. Unixovy root je
Kazdopadne je hodne paranoidni, a mozna trosku zavani security by
obscurity, ale stejne mam za to, ze ho lze pri trose snahy nakonfigurovat
tak, aby to skutecne bylo neprustrelnejsi, nez "default".
> Nemuzu zapisovat do /dev/kmem? Tak zapisu do /dev/hda.
Zapis do /dev/hda lze take selektivne zakazat (resp. defaultne zakazat a
selektivne (na proces) povolit).
> Nebo do /boot/vmlinuz.
Jasne. Ovsem aby tady zpusobena nekalost nabyla ucinnosti, bylo by potreba
prebootovat...coz ale jak vime muzeme omezit pouze na moznost lokalniho
bootu z konzole.
> Nebo do /lib/modules/... Nebo do /lib/libc.so.6.
No, bez zakazanych modulu je fakt, ze asi nema prilis cenu vubec o LIDSu
premyslet (i kdyz mame samozrejme CAP_SYS_MODULES ;) ), protoze
presmerovat syscall na svoji nehlidanou variantu fakt neni problem.
V beznem rezimu IMHO neni potreba mit povolen zapis do
/lib/libc.so.6... ?
Tak jak je to (AFAIK) udelano v LIDSu je mozne si vybrat, jestli ma byt
mozno z "secured" behu jadra prejit do "insecured", nebo to jit vubec
nema, a resenim se prepnout jinam je jedine boot.
Pokud clovek vi co dela, tak nemusi byt podle mne uplne spatne si v
"secured" behu nastavit skutecne jen zapis do souboru, kam je
bezpodminecne nutne ho mit nastaven (navic jen selektivne pro procesy),
pokud jde o nejaky exponovany pocitac, ukladajici napriklad nejaka
choulostiva data...je to na rootovi, aby posoudil, zda mi ten velice
snizeny komfort za ten "pocit jistoty a bezpeci" ;) stoji.
> Nebo se pres ptrace() napichnu na cizi proces.
Coz neni taky asi nutne mit povolene, zvlast na nejakych serverech, kde se
nic nedebuguje. Nebo ne?
Nechci, abych vypadal jako agent prodavajici LIDS ;) - nepouzivam ho, a
pouzivat nehodlam. Jen jsem, kdyz uz tady na to prisla rec, se o nem
zminil jako o alternative, ktera, kdyz se IMHO dobre nastavi, muze
potencionalnimu utocniku prunik hodne znesnadnit, ale ani v nejmensim
netvrdim, ze je to nejaka prevratna bezpecnostni koncepce. Nicmene mi na
druhou stranu soucasna prace s capabilitami pripada taky ponekud pod
urovni.
--
JiKos.
Další informace o konferenci Linux