Re: [ml] Mi hanno bucato il server

> On Mon, Feb 12, 2007 at 09:57:05AM +0100, Federico Lombardo wrote:
>> la reinstallazione di un kernel,
>> assolutamente togliendo la modalità modulare
> 
> Io questo mito dei kernel monolitici non lo capisco.

non e' questione di miti ...
e' un punto!
Chiaramente un kernel monolitico nn basta, ma concorderai con me
che un modulo caricato puo' accedere alla memoria riservata del nucleo e
quindi a tutte le liste circolari di questa vita e dell'altra.

Certo e' che meno moduli usi, meglio e' ... un esempio?!?
i buffer overflow riscontrati sullo stack BLUETOOTH!
e' sempre buona norma secondo me ricompilarsi un kernel con il minimo
indispensabile, e una volta che ti accerti che un determinato driver va'
bene per un sistema i produzione .... che te ne fai di caricarlo com
modulo?!? .. per passare il tempo tra' un modprobe e un rmmod?!?

Mito o meno, un modulo se caricato compromette le strutture dati di
sistema e puo' indirizzare tutta la memoria che gli pare!

Certo, c'e' la porticina in /dev/kmem ...
certo .. puoi nascondere robe con sys_ptrace ...

pero' 1+1+1=3 :D

> (1) esiste lcap ["apt-cache show lcap" visto che il richiedente iniziale
> aveva debian], che volendo puo` essere anche usato alla fine dell'initrd

certamente!! hai ragione ..
pero' che succede se patcho l'immagine binaria e faccio si' che supero i
limiti delle CAPABILITIES in fase di avvio del kernel?
In tal caso le CAPs non mi servono ad un fico secco. Ed anche qui, la
tecnica per farlo e' nota da anni luce!



> (2) sono note (da anni) tecniche per "patchare" kernel monolitici in ram

se togli il supporto ai moduli,
togli il /dev/kmem, disabiliti sys_ptrace()
non vedo altre strade