© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hi,
die juengsten Attacken gegen linuxbasierte Debian- und FSF-Server bringen
mich zu den folgenden Fragen..
FreeBSD-Server habe ich in der Regel mit chflags abgesichert, so dass auch
Root nicht alles schreiben kann - so ist z.B. kein Installieren eines
Rootkit oder Veraendern von /sbin/init, wie geschehen, ohne weiteres
moeglich. SELinux laesst ja ebenfalls Sicherheitsmassnahmen zu, in dem
die Files einer anderen Domain als root zugeordnet werden.
Allerdings frage ich mich, ob es nicht relativ einfach ist, wenn man denn
schon root geworden ist, im Kernel die Variable Securelevel im Memory
direkt zu aendern, und dann haette man alles, was darauf basiert,
ausgehebelt?
Wo die Variable versteckt ist, liesse sich vielleicht durch einen
maschinencode-bewanderten Hacker (nicht ich;-) durch Finden von Patterns
im Kernelcode herausfinden, in dem die Securelevel abgetestet weren?
Ist das eine Schwachstelle des Securelevel/chflags-Konzepts?
(ReadOnly-Mounts waeren z.B. genauso betroffen, da ich ohne Securelevel
halt read-write remounten kann)
Bei SELinux waere wohl die Domain des benutzten Root-Accounts zu faken, um
aehnliches zu ermoeglichen?
Sind jails ein besserer Schutz, weil man aufs Memory des Kernels nicht
ohne weiteres zugreifen kann? Oder kann ich von einem Jail-Root-Account
auf die Prozessstruktur zugreifen, die die Jailvariable enthaelt?
In allen Faellen gehe ich nicht von definierten Schnittstellen wie z.B.
sysctl fuer kern.securelevel aus, sondern von direktem Patchen des
Kernel-Memories.
Es gruesst
Peter
To Unsubscribe: send mail to majordomo.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 04 Dec 2003 - 06:10:40 CET