Re: [ml] Mi hanno bucato il server

On Mon, Feb 12, 2007 at 04:21:20PM +0100, Daniele Bellucci wrote:
> > Io questo mito dei kernel monolitici non lo capisco.
> non e' questione di miti ...
> e' un punto!

l'unico punto che vedo e` che non sai/vuoi/puoi/quantaltro usare lcap
alla fine dell'initrd.

> che un modulo caricato puo' accedere alla memoria riservata del nucleo e
> quindi a tutte le liste circolari di questa vita e dell'altra.

certo, quindi basta togliere la capability di inserire i moduli alla
fine dell'initrd, dopo che si sono caricati tutti i moduli che servono.

> e' sempre buona norma secondo me ricompilarsi un kernel con il minimo
> indispensabile,

evidentemente hai molto pochi server da gestire e puoi permetteti di
compilare un kernel specifico per ognuno. Io impiego (molto) meno tempo
a preparare un initrd che a compilare un kernel (ovviamente su una
macchina diversa dal server, che i compilatori non ce li voglio sui
server ...).

> > (1) esiste lcap ["apt-cache show lcap" visto che il richiedente iniziale
> > aveva debian], che volendo puo` essere anche usato alla fine dell'initrd
> 
> pero' che succede se patcho l'immagine binaria e faccio si' che supero i
> limiti delle CAPABILITIES in fase di avvio del kernel?

succede la stessa cosa che se patchi l'immagine binaria di un kernel
monolitico: fai tutto quello che vuoi e/o che sei capace di fare.

> > (2) sono note (da anni) tecniche per "patchare" kernel monolitici in ram
> 
> se togli il supporto ai moduli,

basta togliere con lcap la capability [CAP_SYS_MODULE] alla fine dell'initrd

> togli il /dev/kmem,

idem [CAP_SYS_RAWIO]

> disabiliti sys_ptrace()

idem [CAP_SYS_PTRACE]

E gia` che ci sei potresti voler togliere altre capabilities ...

-- 
Chi usa software non libero avvelena anche te. Digli di smettere.
Informatica=arsenico: minime dosi in rari casi patologici, altrimenti letale.
Informatica=bomba: intelligente solo per gli stupidi che ci credono.