Hallo,
ich habe hier ein selbstgestricktes Minimal-Linux, bei dem ich folgendes Problem habe:
Ich muss ein eigenes Modul laden und muß daher "Loadable module support" aktivieren.
Nun möchte ich natürlich verhindern, das ein eventueller Angreifer Module nachladen kann.
Wie kann ich das am einfachsten erreichen ? Geht das über GRsecurity (habe ich schon drin) ?
Wäre sowas eine Möglichkeit: http://hunch.net/~jl/linux/seal.html ?
Bin für Tipps dankbar :-D
Module laden unterbinden
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Module laden unterbinden
Ja, über CONFIG_GRKERNSEC_MODSTOP bzw. disable_modules via sysctl.lordy wrote:Geht das über GRsecurity (habe ich schon drin) ?
-
Joe User
- Project Manager
- Posts: 11186
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: Module laden unterbinden
Um Kernel-Module nachladen zu können, benötigt man root-Rechte und wenn != root diese hat, hat man andere schwerwiegendere Probleme als das zusätzliche Kernel-Modul...
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
lordy
- Posts: 83
- Joined: 2006-06-22 12:45
Re: Module laden unterbinden
Das ist mir schon klar, das nur root das kann, aber sicher ist sicher :-D
Habe es jetzt wie folgt gelöst:
funktioniert auch wunderbar. Vielen Dank für den Tipp, RW.
Habe es jetzt wie folgt gelöst:
Code: Select all
insmod /lib/modules/mein_modul.ko
echo 1 > /proc/sys/kernel/grsecurity/disable_modules
echo 1 > /proc/sys/kernel/grsecurity/grsec_lock-
Joe User
- Project Manager
- Posts: 11186
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: Module laden unterbinden
Ich wollte auch nur darauf Hinweisen, dass wer root-Rechte hat auch /proc (sysctl) und Gresecurity manipulieren kann...
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
lordy
- Posts: 83
- Joined: 2006-06-22 12:45
Re: Module laden unterbinden
Ja, dafür setze ich ja den grsec_lock auf 1. Damit sind die GRsecurity-Einstellungen nicht mehr per sysctl veränderbar.
-
sogo
- Posts: 27
- Joined: 2007-04-11 11:17
- Location: London, UK
Re: Module laden unterbinden
Hilft trotzdem nicht solange Du nicht die Integritaet des Modules garantieren kannst.. (den Code kann ich trotzdem veraendern), eventuell schaust Du Dir besser SELinux und signierte Module an...lordy wrote:Ja, dafür setze ich ja den grsec_lock auf 1. Damit sind die GRsecurity-Einstellungen nicht mehr per sysctl veränderbar.
-- sogo
-
lordy
- Posts: 83
- Joined: 2006-06-22 12:45
Re: Module laden unterbinden
Danke für den Input.
Das Kernel-Modul ist selbst entwickelt und relativ überschaubar. Ich habe es aus unseren Sourcen kompiliert.
Kannst du mir das mit signierten Modulen vielleicht etwas näher erläutern oder einen Link geben ?
Das Kernel-Modul ist selbst entwickelt und relativ überschaubar. Ich habe es aus unseren Sourcen kompiliert.
Kannst du mir das mit signierten Modulen vielleicht etwas näher erläutern oder einen Link geben ?
-
sogo
- Posts: 27
- Joined: 2007-04-11 11:17
- Location: London, UK
Re: Module laden unterbinden
HOWTO (erster Hit bei Google): http://www.linuxjournal.com/article/7130
Aber wie schon gesagt wurde, an dein Kernel Modul oder das (b)zImage kann ich ohne Probleme meinen eigenen Binaerzeugs anhaengen, such mal bei Phrack, wurde beides schon beschrieben...
Aber wie schon gesagt wurde, an dein Kernel Modul oder das (b)zImage kann ich ohne Probleme meinen eigenen Binaerzeugs anhaengen, such mal bei Phrack, wurde beides schon beschrieben...