Kompilovat kernel??? *was* Re: .config na IBM server

[Jirka Kosina]

On Tue, 18 May 2004, Petr Stehlik wrote:

> > zalezitosti, ze. I kdyz zrovna deravou PHP aplikaci bych jako primeho 
> > vinika root compromise nevidel - nebo Vam bezi apache + php pod rootem? :) 
> spis jsem to myslel tak, ze pokud uz ma nekdo shell na stroji, tak uz se
> rootem stane pomoci tech fint s modulama atd, ne? Ale pokud nema ani

Nikoliv. Pomoci fint s modulama se typicky skryje v systemu, kdyz uz 
nejakym jinym zpusobem ziskal roota. Ale jen zakazat moduly nestaci, kdyz 
je stale otevreny rootovi /dev/kmem pro zapis, atd.

> > a tyto updaty Vas ochrani pred script kiddies, bezpochyby. Ale vzdycky je 
> > dobre mit na pameti, ze ne vsichni lide na svete nosi bile klobouky. 
> > Zvlast je dulezite to mit na pameti, pokud mate na serveru nejaka citliva 
> > data, o ktera by mohl mit zajem i nekdo jiny nez ./kiddie
> Tomuhle se asi rika salamounska odpoved. Nejsou v ni zadne informace,
> snad krome vystrahy, ze ne vsechny nalezene bezpecnostni problemy jsou
> reseny. 

To je prave to jedine co jsem se snazil tim odstavcem sdelit. Proste se 
jedna o konstatovani ze existuji i jine chyby nez ktere se objevily v 
bugtraqu. Nic vic, nic min, jen je dobre o tom vedet a neuzivat si pocitu 
falesneho bezpeci.

> Znamena to, ze ti s cervenymi klobouky lozi dovnitr pomoci vlastnich
> security auditu, ktere ovsem vyuziji opacne nez ti s bilymi klobouky? A

Tomuhle moc nerozumim. Existuji proste komunity a firmy, ktere se
jednoduse vyzkumem bezpecnosti jednotlivych aplikaci a programu zabyvaji.
Ne vsichni to delaji proto, aby si uzili sve dva dny slavy po publikovani
chyby.

> co Standa Dolinek - ten uz klobouk prece odhodil...

Eh?

> A co ja, mam zacit prolezat zdrojaky vsech programu plus kernel, abych
> taky nejakou diru nasel a hned zalepil? Vlastne ne, to radeji tahat
> draty, chystat misky s medem a podobne voodoo? A az to bude cele

Pokud budete mit nainstalovany treba dobre nejak rozumne zkonfigurovany
grsecurity (nebo cokoliv obdobneho), tak ani chyba v aplikaci (byt i
bezici pod rootem) by nemela mit vliv na cely system a je daleko vetsi
sance ze se o pruniku dozvite, nez na holem systemu. Neni to samozrejme
stoprocentni, jako ostatne nic, ale zasadnim zpusobem to muze ztizit cestu
i tem zkusenejsim a, rekneme, cilevedomejsim.

-- 
JiKos.