Module laden unterbinden

lordy
Posts: 83
Joined: 2006-06-22 12:45

Module laden unterbinden

Post by lordy »

Hallo,

ich habe hier ein selbstgestricktes Minimal-Linux, bei dem ich folgendes Problem habe:

Ich muss ein eigenes Modul laden und muß daher "Loadable module support" aktivieren.
Nun möchte ich natürlich verhindern, das ein eventueller Angreifer Module nachladen kann.

Wie kann ich das am einfachsten erreichen ? Geht das über GRsecurity (habe ich schon drin) ?

Wäre sowas eine Möglichkeit: http://hunch.net/~jl/linux/seal.html ?

Bin für Tipps dankbar :-D
Top

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Module laden unterbinden

Post by Roger Wilco »

lordy wrote:Geht das über GRsecurity (habe ich schon drin) ?

Ja, über CONFIG_GRKERNSEC_MODSTOP bzw. disable_modules via sysctl.
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11462
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Module laden unterbinden

Post by Joe User »

Um Kernel-Module nachladen zu können, benötigt man root-Rechte und wenn != root diese hat, hat man andere schwerwiegendere Probleme als das zusätzliche Kernel-Modul...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

lordy
Posts: 83
Joined: 2006-06-22 12:45

Re: Module laden unterbinden

Post by lordy »

Das ist mir schon klar, das nur root das kann, aber sicher ist sicher :-D

Habe es jetzt wie folgt gelöst:

Code: Select all

insmod /lib/modules/mein_modul.ko
echo 1 > /proc/sys/kernel/grsecurity/disable_modules
echo 1 > /proc/sys/kernel/grsecurity/grsec_lock


funktioniert auch wunderbar. Vielen Dank für den Tipp, RW.
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11462
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Module laden unterbinden

Post by Joe User »

Ich wollte auch nur darauf Hinweisen, dass wer root-Rechte hat auch /proc (sysctl) und Gresecurity manipulieren kann...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

lordy
Posts: 83
Joined: 2006-06-22 12:45

Re: Module laden unterbinden

Post by lordy »

Ja, dafür setze ich ja den grsec_lock auf 1. Damit sind die GRsecurity-Einstellungen nicht mehr per sysctl veränderbar.
Top

sogo
Posts: 27
Joined: 2007-04-11 11:17
Location: London, UK

Re: Module laden unterbinden

Post by sogo »

lordy wrote:Ja, dafür setze ich ja den grsec_lock auf 1. Damit sind die GRsecurity-Einstellungen nicht mehr per sysctl veränderbar.


Hilft trotzdem nicht solange Du nicht die Integritaet des Modules garantieren kannst.. (den Code kann ich trotzdem veraendern), eventuell schaust Du Dir besser SELinux und signierte Module an...

-- sogo
Top

lordy
Posts: 83
Joined: 2006-06-22 12:45

Re: Module laden unterbinden

Post by lordy »

Danke für den Input.

Das Kernel-Modul ist selbst entwickelt und relativ überschaubar. Ich habe es aus unseren Sourcen kompiliert.

Kannst du mir das mit signierten Modulen vielleicht etwas näher erläutern oder einen Link geben ?
Top

sogo
Posts: 27
Joined: 2007-04-11 11:17
Location: London, UK

Re: Module laden unterbinden

Post by sogo »

HOWTO (erster Hit bei Google): http://www.linuxjournal.com/article/7130
Aber wie schon gesagt wurde, an dein Kernel Modul oder das (b)zImage kann ich ohne Probleme meinen eigenen Binaerzeugs anhaengen, such mal bei Phrack, wurde beides schon beschrieben...
Top

Who is online

Users browsing this forum: Istella [Bot] and 286 guests