On 27.03.06 01:35:20, Richard Mittendorfer wrote: > Also sprach Andreas Pakulat <[EMAIL PROTECTED]> (Mon, 27 Mar 2006 01:18:48 > +0200): > > On 26.03.06 22:29:13, Claus Malter wrote: > > > Richard Mittendorfer wrote: > > > >> Hat es denn einen Nachteil, wenn ich hunderte von Module in /lib > > > >> liegen habe, die ich gar nicht brauche? > > > > > > > > Eventuell. > > > > > > Wäre interessant zu wissen. Also generell weiss ich, dass bei Modul > > > Support im Kernel es möglich ist, dass ein Eindringling sein eigenes > > > Modul in den Kernel bindet. > > > > Naja, solange der Kernel es nur root erlaubt Module zu laden ist das > > Der module autoloader (frag' mich nicht, wie der zu manipulieren sei).
Aehm, ich mag mich ja irren, aber dafuer muessten die Module erstmal in /lib/modules/<uname -r>/ liegen und die Module Dependecies upgedated werden oder? Dann hat der Angreifer schon root-Zugang und es ist eh alles zu spaet. > > kein soo grosses Problem. Beziehungsweise wenn der Eindringling schon > > root ist ist das kleinste Uebel wohl ob er ein Modul laden darf... > > Und, du bist dann schoen im System eingebettet -- ohne wirkliche Chance > von einem anti-rootkit Tool oder Sysadmin leicht entdeckt zu werden. Ich hab mich mit der Materie noch nie derart intensiv beschaeftigt aber ich denke wer erstmal auf einem System beliebige Programme starten kann und sei es auch nur als "nobody", der hat schon fast gewonnen. Und rootkit-Checker kann man doch wohl auch ohne Kernel-Modul ganz gut austricksen, oder irre ich da? Andreas -- You will have a long and unpleasant discussion with your supervisor. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
