RootForum Community

Hallo,

ich habe hier ein selbstgestricktes Minimal-Linux, bei dem ich folgendes Problem habe:

Ich muss ein eigenes Modul laden und muß daher "Loadable module support" aktivieren.
Nun möchte ich natürlich verhindern, das ein eventueller Angreifer Module nachladen kann.

Wie kann ich das am einfachsten erreichen ? Geht das über GRsecurity (habe ich schon drin) ?

Wäre sowas eine Möglichkeit: http://hunch.net/~jl/linux/seal.html ?

Bin für Tipps dankbar :-D

lordy wrote:Geht das über GRsecurity (habe ich schon drin) ?

Ja, über CONFIG_GRKERNSEC_MODSTOP bzw. disable_modules via sysctl.

Um Kernel-Module nachladen zu können, benötigt man root-Rechte und wenn != root diese hat, hat man andere schwerwiegendere Probleme als das zusätzliche Kernel-Modul...

Das ist mir schon klar, das nur root das kann, aber sicher ist sicher :-D

Habe es jetzt wie folgt gelöst:
funktioniert auch wunderbar. Vielen Dank für den Tipp, RW.

Ich wollte auch nur darauf Hinweisen, dass wer root-Rechte hat auch /proc (sysctl) und Gresecurity manipulieren kann...

Ja, dafür setze ich ja den grsec_lock auf 1. Damit sind die GRsecurity-Einstellungen nicht mehr per sysctl veränderbar.

lordy wrote:Ja, dafür setze ich ja den grsec_lock auf 1. Damit sind die GRsecurity-Einstellungen nicht mehr per sysctl veränderbar.

Hilft trotzdem nicht solange Du nicht die Integritaet des Modules garantieren kannst.. (den Code kann ich trotzdem veraendern), eventuell schaust Du Dir besser SELinux und signierte Module an...

-- sogo

Danke für den Input.

Das Kernel-Modul ist selbst entwickelt und relativ überschaubar. Ich habe es aus unseren Sourcen kompiliert.

Kannst du mir das mit signierten Modulen vielleicht etwas näher erläutern oder einen Link geben ?

HOWTO (erster Hit bei Google): http://www.linuxjournal.com/article/7130
Aber wie schon gesagt wurde, an dein Kernel Modul oder das (b)zImage kann ich ohne Probleme meinen eigenen Binaerzeugs anhaengen, such mal bei Phrack, wurde beides schon beschrieben...