zabezpeceni kernelu

[Majkls]

Lizard wrote:
> Zdravim,
Též zdravím
> 
> premyslel jsem trosku o uprave lin. kernelu a jeho zabezpeceni (mozna
> trosku paranoidnejsiho). Kromne grsecu (a snad i jeho dobre
> konfigurace) a capabilities mne napadlo jeste uplne z kernelu vykopat
> ptrace (kvuli potencialni process injection). Vykopanim myslim editaci
> zdrojaku kernelu.
> Nebo to jde vypnout v grsecu? Hledal jsem to a nikde jsem v nastaveni
> grsecu tuto featuru nenasel, ale mam dojem ze u starsich verzi to bylo
> mozne.
> Nasel jsem u capabilities jeste CAP_SYS_PTRACE... (nezda se ze by to
> melo nejaky ucinek)
mám takovej spejšl modul, kterej jsem si napsal. Je teda pro trochu jiné
účely. Rozlišuju chroot/nechroot. V chrootu blokuju vše následující:
case CAP_DAC_OVERRIDE:
case CAP_KILL:
case CAP_SETPCAP:
                        case CAP_NET_ADMIN:
                        case CAP_IPC_OWNER:
                        case CAP_SYS_MODULE:
                        case CAP_SYS_RAWIO:
                        case CAP_SYS_PTRACE:
                        case CAP_SYS_PACCT:
                        case CAP_SYS_ADMIN:
                        case CAP_SYS_BOOT:
                        case CAP_SYS_RESOURCE:
                        case CAP_SYS_TIME:
                        case CAP_MKNOD:
což částečně dělá z roota obyč uživatele. Ne tak docela, ale jen tak
trochu... Ještě sem neošetřil mount. To budu muset ještě udělat.
> 
> Napada vas jeste neco podobneho?
> Muze byt vykopnuti ptrace necemu na skodu (no dobre no. na fileserveru
> si nebudu debugovat procesy)?
>