jak na emulaci scsi

[Jan Houstek]

> > Tuhle "frajerinu" (monoliticke jadro bez modulu) uz holt delat nepujde.
> > To, ze to je bezpecnejsi, je blbost. Pokud nekdo muze nahravat/vyhazovat
> > moduly z jadra, tak uz je stroj tak jako tak kompromitovany. Navic
> > existuji zpusoby, jak to i rootovi znemoznit, napr. LIDS.
> 
> Zas taková frajeřina to není, dělalo se to odjakživa a bývalo
> to i doporučováno. Ono je přeci jen jednodušší udělat backdoor
> v modulu než vyměnit celé jádro (a riskovat, že tam bude něco
> chybět a pozná se to) nebo měnit jádro za běhu. Nejde totiž jen
> o to, jestli už je stroj kompromitovaný, ale také o to, jak rychle
> to zjistím.

Tak si tam dam LIDS, Medusu, RSBAC, SElinux nebo neco podobneho cokoliv a
po nabootovani a nahrani potrebnych modulu proste nahravani modulu zakazu.
A pokud nekdo dostane roota, tak mi udela velkou radost, kdyz nejaky modul
zkusi nahrat, tak se okamzite prozradi.

Ona je bezpecnost a bezpecnost. Pokud si nedokazu vsimnout toho, ze mam
kompromitovany system jinak, nez uvidim jiny kernel, tak je zbytecne hrat
si na nejakou zvysenou bezpecnost s kernelem bez modulu.

Opravdu jedine, v cem se to lisi je, ze na vymenu kernelu potrebuju
reboot. Ale muzu to udelat tak, ze tam pripravim novy kernel a pockam, az 
to rebootne admin. Takze bezpecne je to uplne stejne.

-- Honza