Kompilovat kernel??? *was* Re: .config na IBM server
Jirka Kosina
jikos na jikos.cz
Úterý Květen 18 22:35:30 CEST 2004
On Tue, 18 May 2004, Petr Stehlik wrote:
> > zalezitosti, ze. I kdyz zrovna deravou PHP aplikaci bych jako primeho
> > vinika root compromise nevidel - nebo Vam bezi apache + php pod rootem? :)
> spis jsem to myslel tak, ze pokud uz ma nekdo shell na stroji, tak uz se
> rootem stane pomoci tech fint s modulama atd, ne? Ale pokud nema ani
Nikoliv. Pomoci fint s modulama se typicky skryje v systemu, kdyz uz
nejakym jinym zpusobem ziskal roota. Ale jen zakazat moduly nestaci, kdyz
je stale otevreny rootovi /dev/kmem pro zapis, atd.
> > a tyto updaty Vas ochrani pred script kiddies, bezpochyby. Ale vzdycky je
> > dobre mit na pameti, ze ne vsichni lide na svete nosi bile klobouky.
> > Zvlast je dulezite to mit na pameti, pokud mate na serveru nejaka citliva
> > data, o ktera by mohl mit zajem i nekdo jiny nez ./kiddie
> Tomuhle se asi rika salamounska odpoved. Nejsou v ni zadne informace,
> snad krome vystrahy, ze ne vsechny nalezene bezpecnostni problemy jsou
> reseny.
To je prave to jedine co jsem se snazil tim odstavcem sdelit. Proste se
jedna o konstatovani ze existuji i jine chyby nez ktere se objevily v
bugtraqu. Nic vic, nic min, jen je dobre o tom vedet a neuzivat si pocitu
falesneho bezpeci.
> Znamena to, ze ti s cervenymi klobouky lozi dovnitr pomoci vlastnich
> security auditu, ktere ovsem vyuziji opacne nez ti s bilymi klobouky? A
Tomuhle moc nerozumim. Existuji proste komunity a firmy, ktere se
jednoduse vyzkumem bezpecnosti jednotlivych aplikaci a programu zabyvaji.
Ne vsichni to delaji proto, aby si uzili sve dva dny slavy po publikovani
chyby.
> co Standa Dolinek - ten uz klobouk prece odhodil...
Eh?
> A co ja, mam zacit prolezat zdrojaky vsech programu plus kernel, abych
> taky nejakou diru nasel a hned zalepil? Vlastne ne, to radeji tahat
> draty, chystat misky s medem a podobne voodoo? A az to bude cele
Pokud budete mit nainstalovany treba dobre nejak rozumne zkonfigurovany
grsecurity (nebo cokoliv obdobneho), tak ani chyba v aplikaci (byt i
bezici pod rootem) by nemela mit vliv na cely system a je daleko vetsi
sance ze se o pruniku dozvite, nez na holem systemu. Neni to samozrejme
stoprocentni, jako ostatne nic, ale zasadnim zpusobem to muze ztizit cestu
i tem zkusenejsim a, rekneme, cilevedomejsim.
--
JiKos.
Další informace o konferenci Linux