Re: [ml] Mi hanno bucato il server

On Thursday 15 February 2007 14:53, Federico Lombardo wrote:
> > togli il /dev/kmem,
> > idem [CAP_SYS_RAWIO]
> > disabiliti sys_ptrace()
> > idem [CAP_SYS_PTRACE]
> > E gia` che ci sei potresti voler togliere altre capabilities ...
>
> Ma perchè tutto sto casino quando basta mettere PaX o grsecurity (che
> include Pax) e togliere il supporto modulare ?

bhè .. per almeno due motivi IMHO:

- se ci sono 2 o più modi per proteggere qualcosa in ambito di sicurezza
  meglio applicarli *tutti*, o almeno 2, così da non affidarsi ciecamente ad
  un solo strumento "salvatutto" (pax o chi per lui)..
- togliere il supporto per i moduli può o non può essere un reale vantaggio..
  tanto più che per caricare un LKM serve essere root .. e se sono root su una
  macchina il modo di convincerti a riavviare magari lo trovo...  il discorso
  può cambiare quando abbinato a un reale fs integrity check su supporto
  remoto e fidato/autenticato

Si badi che non sto nè affermando che pax e gr non servano ne che sono per 
l'uso di kernel modulari .. sto solo andando contro il "basta" :-)

buona giornata :-)
-- 
<?php echo '     Emiliano Gabrielli (aka AlberT)     ',"\n",
'              socio fondatore del GrUSP             ',"\n",
' AlberT_at_SuperAlberT_it   -   www.SuperAlberT.it  ',"\n",
'  IRC:    #php,#AES azzurra.com ',"\n",'ICQ: 158591185'; ?>