Oi, Não. O procedimento que eu adoto é de compilar o kernel, copiar a chave privada pra um pendrive qualquer, assino os módulos que desejo e em seguida apago a chave privada do disco.
Todo módulo compilado externamente necessita da assinatura para ser carregado para o kernel, logo a pessoa pode até obter acesso root, escrever em /lib/modules e tudo, porém não será carregado visto que o modulo (ou rootkit) necessita da chave privada para o tal. Se você remove a chave privada do disco, voilá, sua defesa quanto a isso está feita. Att, Raphael Bastos aka Coffnix *====================================================* * Linux Reg. User*: 388431 // *LPI ID:* LPI000214711 *email:~> $* echo "xgvngkrhgyzuyFngiqyzuxk4ius4hx" | perl -pe \ 's/(.)/chr(ord($1)-2*3)/ge' *Public Key:* 3FBB468B // http://www.hackstore.com.br/coffnix/coffnix-pgp-key.txt *Yaxkin/Gentoo Linux* - http://downloads.hackstore.com.br *Wiki Hackstore* - http://wiki.hackstore.com.br *Área 31 Hackerspace* - http://www.area31.net.br *Kankin/Funtoo Linux* - http://kankin.area31.net.br *====================================================* Em 22 de dezembro de 2015 18:43, [email protected] <[email protected]> escreveu: > 2015-12-22 18:37 GMT-02:00 Raphael Bastos <[email protected]> > : > >> Casfre, não entendi a pergunta. >> > > Raphael, eu ainda não conhecia essa opção. Achei ótimo saber. Mas fiquei > pensativo, a assinatura do módulo (conforme mostra no documento) é feita na > máquina onde estão os componentes? O que me intriga: qualquer um, com > acesso root (imagino que vai escrever em /lib/modules) pode validar > qualquer módulo? > > Obrigado. > > Cássio > > >> >> >> Att, >> Raphael Bastos aka Coffnix >> >> *====================================================* >> * Linux Reg. User*: 388431 // *LPI ID:* LPI000214711 >> *email:~> $* echo "xgvngkrhgyzuyFngiqyzuxk4ius4hx" | perl -pe \ >> 's/(.)/chr(ord($1)-2*3)/ge' >> *Public Key:* 3FBB468B // >> http://www.hackstore.com.br/coffnix/coffnix-pgp-key.txt >> *Yaxkin/Gentoo Linux* - http://downloads.hackstore.com.br >> *Wiki Hackstore* - http://wiki.hackstore.com.br >> *Área 31 Hackerspace* - http://www.area31.net.br >> *Kankin/Funtoo Linux* - http://kankin.area31.net.br >> *====================================================* >> >> Em 22 de dezembro de 2015 18:06, [email protected] <[email protected]> >> escreveu: >> >>> 2015-12-22 16:04 GMT-02:00 Raphael Bastos < >>> [email protected]>: >>> >>>> Oi, >>>> >>>> Documentei a mais recente mudança do kernel Linux na versão 4.3.3 >>>> referente a assinatura de módulos compilados fora do kernel. >>>> >>>> https://wiki.hackstore.com.br/Assinando_m%C3%B3dulos_do_kernel >>>> >>>> Na prática mudou de: >>>> >>>> # perl /usr/src/linux/scripts/sign-file <hash algo> <key> <x509> >>>> >>>> para: >>>> >>>> # /usr/src/linux/scripts/sign-file <hash algo> >>>> /usr/src/linux/certs/signing_key.pem /usr/src/linux/certs/signing_key.x509 >>>> >>>> Mudanças: >>>> >>>> 1- Trocaram o script de assinatura de perl pra C >>>> 2- Colocaram todos os arquivos de assinatura no diretório >>>> /usr/src/linux/certs/ >>>> 3- O arquivo de chave privada agora se chama "signing_key.pem" ao invés >>>> de "signing_key.priv" >>>> >>>> Na oportunidade, atualizei a doc do Gentoo e mais tarde vou atualizar a >>>> do Funtoo. Atualizem vocês a doc do Slackware caso queiram :D >>>> >>>> https://wiki.gentoo.org/wiki/Signed_kernel_module_support >>>> >>> >>> Pensativo aqui: isso seria feito na própria máquina, onde estão o >>> módulo, os sources, o script/aplicativo de assinatura e a respectiva chave? >>> >>> Obrigado. >>> >>> Cássio >>> >>> -- >>> GUS-BR - Grupo de Usuários de Slackware Brasil >>> http://www.slackwarebrasil.org/ >>> http://groups.google.com/group/slack-users-br >>> >>> Antes de perguntar: >>> >>> http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao >>> >>> Para sair da lista envie um e-mail para: >>> [email protected] >>> --- >>> Você recebeu essa mensagem porque está inscrito no grupo "Slackware >>> Users Group - Brazil" dos Grupos do Google. >>> Para cancelar inscrição nesse grupo e parar de receber e-mails dele, >>> envie um e-mail para [email protected]. >>> Para mais opções, acesse https://groups.google.com/d/optout. >>> >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> >> http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao >> >> Para sair da lista envie um e-mail para: >> [email protected] >> --- >> Você recebeu essa mensagem porque está inscrito no grupo "Slackware Users >> Group - Brazil" dos Grupos do Google. >> Para cancelar inscrição nesse grupo e parar de receber e-mails dele, >> envie um e-mail para [email protected]. >> Para mais opções, acesse https://groups.google.com/d/optout. >> > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > > http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao > > Para sair da lista envie um e-mail para: > [email protected] > --- > Você recebeu essa mensagem porque está inscrito no grupo "Slackware Users > Group - Brazil" dos Grupos do Google. > Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie > um e-mail para [email protected]. > Para mais opções, acesse https://groups.google.com/d/optout. > -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao Para sair da lista envie um e-mail para: [email protected] --- Você está recebendo esta mensagem porque se inscreveu no grupo "Slackware Users Group - Brazil" dos Grupos do Google. Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para [email protected]. Para obter mais opções, acesse https://groups.google.com/d/optout.
