Re: Linuxkernel nur durch reboot ersetzbar
* Rainer Ellinger <[EMAIL PROTECTED]>: >> Man muß halt sehen, das man immer schön seine securityfixes >> einspielt. Und die sind z.B. bei OpenBSD extrem wenig im Vergleich >> zu anderem. Schau dir mal die History der fixes an. > Zum Glück hat Linux solche Schummeleien nicht nötig... -v bitte. SEcki -- The broad mass of a nation... will more easily fall victim to a big lie than to a small one. -- Adolf Hitler, "Mein Kampf" -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Linuxkernel nur durch reboot ersetzbar
Dieter Franzke schrieb: > Ohne root-Rechte keine Manipulation am Kernel und Modulen. Ob modularer Kernel oder nicht, ist sicherheitstechnisch gleich, da es mit Root-Rechten in beiden Varianten möglich etwas in den laufenden Kernel zu schmuggeln. Insofern ist das auch kein ursächliches Sicherheitsproblem: der "Angreifer" ist schon Root. > Man muß halt sehen, das man immer schön seine securityfixes > einspielt. Und die sind z.B. bei OpenBSD extrem wenig im Vergleich zu > anderem. Schau dir mal die History der fixes an. Zum Glück hat Linux solche Schummeleien nicht nötig... -- [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Linuxkernel nur durch reboot ersetzbar
On Wed, 13 Nov 2002 22:33:53 +0100 Markus Hansen <[EMAIL PROTECTED]> wrote: > Ich kann auch nicht sagen, ich weiß warum, _aber_ > Ich habe eine recht Sinnvolle Erklärung: > Jens, sag mal, ob die sinn macht. > Also, der Kernel ist das innerste, der "Kern" von Linux. > Es gibt da so ein tolles Poster von Lehmann, > da ist alles in einem Trichter angeordnet, von Samba bis Satan, > von KDE bis Office ... > Das alles ist in einem Trichter angeordnet. > Der Trichter wird von einer kleinen roten Kugel verschossen, dem > Kernel. Also, wenn der Kernel kurzzeitig weg ist, dann läuft was aus > dem Trichter raus, und du mußt den Kernel kurz wegnehmen, wenn du ihn > durch einen neuen erstetzt. > Andersgesagt, du reißt dem System das Herz raus, ersetzt es durch ein > neues, und erwartest, das du ohne wiederbelebungsversuche davon > kommst? Du hast ja in Lilo schon die Möglichkeit, verschiedene Kernel > zu bootan, wieso willst du sie eigentlich im betrieb wechseln? > Ich habe einen 2.4.18-k7 Kernel und bin _sehr_ zufrieden damit. > IMHO macht es wenig sinn den Kernel während des Betriebes zu wechseln. > Überlege mal, wieviel nebensächlichkeiten dazu u.a. mit übergeben > werden müssen, damit alles funktioniert, die eigentliche übergabe der > "Macht" an einen anderen Kernel man noch nicht ein mal beachtet. > Evtl ist es auch nicht vorgesehen, das der Kernel seine "Macht" > abgeben kann. > > Irgendwelche Entwickler: sagt mir doch bitte, ob meine "Erklärung" > schlau war, oder nicht. Nee, nicht wirklich! Jedenfalls nicht aus der Sicht vom OS-Design. Einfaches Beispiel: Man setzt eine globale Kernsperre (das hat der Linux-Kernel ganz früher auch mal gemacht), somit kann nur noch Code im Kern ausgeführt werden, der Rest des Systems blockiert solange (sowas macht man z.B. wenn man Zugriff auf begrenzte Ressourcen erlaubt, nur ein Programm kann sich dann in einem solchen "kritischen Abschnitt" befinden). Wenn man jetzt alle Datenstrukturen vom einen Kernel zum anderen bringt und ihm die Aufgaben übergibt, danach die Kernsperre aufhebt, kann sich der alte Kernel verabschieden. Prinzipiell ist sowas relativ einfach, sowas aber nachträglich einzubauen ist nicht mehr so trivial, vor allem da der Linux-Kernel doch recht chaotisch ist. (Bitte keinen Flame-War jetzt!) HTH /dirk -- dirk haage| [EMAIL PROTECTED] advanced network technologies phone +49 (0)30 85 07 06 12 mobile +49 (0)178 DIRK HAAGE -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Linuxkernel nur durch reboot ersetzbar
Am Mittwoch, 13. November 2002 11:30 schrieb Matthias Wieser: > Hallo :-) > > Ulrich Wiederhold schrieb: > > Wäre zumindestens für Menschen, die öfter mal nen neuen kernel > > entwockeln oder zumindest bauen sehr interessant. > > Warum klappt's denn mit dem Linux-Kernel nicht ohne reboot? > > Liegt das in der Architektur begründet, hat sich noch niemand wirklich > > ernsthaft damit beschäftigt oder woran liegt das? Hi! Ich kann auch nicht sagen, ich weiß warum, _aber_ Ich habe eine recht Sinnvolle Erklärung: Jens, sag mal, ob die sinn macht. Also, der Kernel ist das innerste, der "Kern" von Linux. Es gibt da so ein tolles Poster von Lehmann, da ist alles in einem Trichter angeordnet, von Samba bis Satan, von KDE bis Office ... Das alles ist in einem Trichter angeordnet. Der Trichter wird von einer kleinen roten Kugel verschossen, dem Kernel. Also, wenn der Kernel kurzzeitig weg ist, dann läuft was aus dem Trichter raus, und du mußt den Kernel kurz wegnehmen, wenn du ihn durch einen neuen erstetzt. Andersgesagt, du reißt dem System das Herz raus, ersetzt es durch ein neues, und erwartest, das du ohne wiederbelebungsversuche davon kommst? Du hast ja in Lilo schon die Möglichkeit, verschiedene Kernel zu bootan, wieso willst du sie eigentlich im betrieb wechseln? Ich habe einen 2.4.18-k7 Kernel und bin _sehr_ zufrieden damit. IMHO macht es wenig sinn den Kernel während des Betriebes zu wechseln. Überlege mal, wieviel nebensächlichkeiten dazu u.a. mit übergeben werden müssen, damit alles funktioniert, die eigentliche übergabe der "Macht" an einen anderen Kernel man noch nicht ein mal beachtet. Evtl ist es auch nicht vorgesehen, das der Kernel seine "Macht" abgeben kann. Irgendwelche Entwickler: sagt mir doch bitte, ob meine "Erklärung" schlau war, oder nicht. MFG -- Markus Hansen [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Linuxkernel nur durch reboot ersetzbar
On Wed, Nov 13, 2002 at 11:30:46AM +0100, Matthias Wieser wrote: > Das ist auch ein Grund, wieso es auf einem Server Sinn macht, einen NICHT > modulunterstützenden Kernel zu backen, damit niemand "schädliche" Module > laden kann. Es gibt solche Rootkitmodul *grübel* -mir fällt gerade Beispiel IMO gibts auch schon rootkits, die den kernel im memory "patchen". da hilft dann auch kein monolithischer kernel mehr ;) -- c u henning -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Linuxkernel nur durch reboot ersetzbar
On Mit, 13 Nov 2002, Matthias Wieser wrote: > > Warum klappt's denn mit dem Linux-Kernel nicht ohne reboot? > > Liegt das in der Architektur begründet, hat sich noch niemand wirklich > > ernsthaft damit beschäftigt oder woran liegt das? > Meiner Meinung nach sind es auch Sicherheitsbedenken. Wenn man den Kernel im > laufenden Betrieb ersetzen kann, dann kann ein Eindringling in ein System das > auch voller Freude machen. (und einen für ihn nützlichen Kernel einspielen > ohne das "viel" auffällt.) 2.5.46 oder so, kexec, kann auch linux kernel starten, Problem liegen in der Initialisierung/Deinitialisierung von PCI etc Geräten. Kommt also. Und dann wäre da noch usermode-linux ... Herzliche Grüße Norbert --- Norbert Preining Technische Universität Wien gpg DSA: 0x09C5B094 fp: 14DF 2E6C 0307 BE6D AD76 A9C0 D2BF 4AA3 09C5 B094 --- NACTION (n.) The 'n' with which cheap advertising copywriters replace the word 'and' (as in 'fish 'n' chips', 'mix 'n' match', 'assault 'n' battery'), in the mistaken belief that this is in some way chummy or endearing. --- Douglas Adams, The Meaning of Liff -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Linuxkernel nur durch reboot ersetzbar
Hi, Am Mittwoch, 13. November 2002 11:30 schrieb Matthias Wieser: ... > Meiner Meinung nach sind es auch Sicherheitsbedenken. Wenn man den Kernel > im laufenden Betrieb ersetzen kann, dann kann ein Eindringling in ein > System das auch voller Freude machen. (und einen für ihn nützlichen Kernel > einspielen ohne das "viel" auffällt.) um einen Kernel auzutauschen, benötigst du root-Rechte. Wenn die jemand Unbefugtes hat, hast du sowieso ein großes Problem und schon verloren!! Dann ist es relativ egal, ob du nen reboot brauchst oder nicht. > Das ist ein Grund wieso es vielleicht nicht erstrebenswert ist, ohne reboot > Kernel zu tauschen. s.o. > Das ist auch ein Grund, wieso es auf einem Server Sinn macht, einen NICHT > modulunterstützenden Kernel zu backen, damit niemand "schädliche" Module > laden kann. Voll ACK, aber auch s.o. Ohne root-Rechte keine Manipulation am Kernel und Modulen. Man muß halt sehen, das man immer schön seine securityfixes einspielt. Und die sind z.B. bei OpenBSD extrem wenig im Vergleich zu anderem. Schau dir mal die History der fixes an. ciao Dieter -- registered linuxuser 199810 it's time to close windows -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Linuxkernel nur durch reboot ersetzbar
Hallo :-) Ulrich Wiederhold schrieb: > Wäre zumindestens für Menschen, die öfter mal nen neuen kernel > entwockeln oder zumindest bauen sehr interessant. > Warum klappt's denn mit dem Linux-Kernel nicht ohne reboot? > Liegt das in der Architektur begründet, hat sich noch niemand wirklich > ernsthaft damit beschäftigt oder woran liegt das? Meiner Meinung nach sind es auch Sicherheitsbedenken. Wenn man den Kernel im laufenden Betrieb ersetzen kann, dann kann ein Eindringling in ein System das auch voller Freude machen. (und einen für ihn nützlichen Kernel einspielen ohne das "viel" auffällt.) Das ist ein Grund wieso es vielleicht nicht erstrebenswert ist, ohne reboot Kernel zu tauschen. Das ist auch ein Grund, wieso es auf einem Server Sinn macht, einen NICHT modulunterstützenden Kernel zu backen, damit niemand "schädliche" Module laden kann. Es gibt solche Rootkitmodul *grübel* -mir fällt gerade Beispiel ein, aber ich habe es einmal ausprobiert: Der Link beschreibt Rootkits im Allgemeinen: http://www.net.uni-sb.de/teaching/ss02/semis/drafts/8.pdf Ciao, mattHias -- Matthias Wieser email:[EMAIL PROTECTED] Haiderhofweg 16 homepage: http://www.hiasl.net A-8793 TrofaiachHandy: 0699/11305112 AUSTRIA -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
