[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Maggio 2002 ml@sikurezza.org Soggetto: Re: a proposito di LKM Mittente: Amodiovalerio Verde Data: 27 May 2002 17:21:52 -0000
hmm ne abbiamo parlucchiato per caso l'altra sera... al di la' di se e' una soluzione fattibile o meno, io ti riporto di cosa si parlava... praticamente stavamo parlando delle kernel capabilities, e di come attualmente a causa del mancato supporto file system vengano applicate globalmente al sistema... la /proc/sys/kernel/cap-bound e' una mask che contiene le capabilities globali attive sul sistema... e' possibile disabilitare la CAP_SYS_RAWIO che 'sembra' disabilitare la scrittura diretta in memoria.... o almeno da test che ho fatto io, una volta levata, mi impediva di scrivere in kmem... Inoltre in un vecchio post su bugtraq si menzionava la CAP_SYS_RAWIO proprio per un problema simile, ovvero cercare di disabilitare il caricamento di moduli Potresti provare a utilizzarle, ma ti ripeto...dovrebbe impedire qualsiasi tipo di scrittura in memoria, di conseguenza potrebbe non farti funzionare qualcosa... Per maggiori info spulcia nel kernel, in particolare vedi src/linux/include/linux/capabilities.h e la mailing list di linux-privs ( che era il nome del progetto che si occupava delle capabilities ) In alternativa potresti patchare il kernel per far si che la CAP_SYS_RAWIO abbia effetto solo su kmem o dove ti interessa a te.... Se ti interessano le capabilities e vuoi sapere qualcosa in piu' non esitare a chiederlo in mailing o anche direttamente a me Amodiovalerio [Hypo] Verde ----- Original Message ----- From: "marco mascherpa (aka mush)" <mush@monrif.net> To: <ml@sikurezza.org> Sent: Friday, May 24, 2002 4:15 PM Subject: a proposito di LKM > buongiorno a tutti, > avrei intenzione, in ragione di un incremento di sicurezza, di eliminare il > supporto per i LKM in linux, come ho letto consigliare da qualche parte. > ora perņ avrei bisogno di utilizzare una periferica che viene riconosciuta > proprio tramite un modulo: mi chiedevo se ci fosse un modo per inserire il > modulo nel kernel monolitico al momento della compilazione dello stesso. > qualcuno sa se e come si puņ fare? > grazie infinite, > mush > > -- > Icy-Q 41982464 > discussioni.org IRCoperator > > "Se non sai cos' č, non ti serve" > Leva > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005