Mailinglisten-Archive |
> In den Standardeinstellungen von Linux hindert einen zwar AFAIK keiner > daran, in einer chroot-Umgebung (wo man sich gerade einen root erhackt > hat) mknod und dann mount zu benutzen, oder ein zweites chroot zu > mknod und mount klappen nur mit selber mitgebrachten Tools. Auch das "verschenken" eines selbst geschriebenen Scriptes an User root klappt nicht mit dem gelieferten chmod, chown aber mit eigenen. Zur Erinnerung - wenn ein Script mit SUID Flag und User, Gruppe root ausgestattet ist, kann jeder User dieses mit Rootrechten starten ..... > fahren, oder Prozesse ausserhalb des chroots anzugreifen, oder > ähnliches. Aber ein Kernel-Patch bei www.grsecurity.net zeigt, wie man > das auch noch verhindern kann. Diese Features sind teilweise im 2.4er > Kernel und mehr davon werden in den 2.5er einfliessen, aber momentan > sind sie noch nicht standardmäßig aktiv. http://www.grsecurity.net zeigt wirklich recht gut, welche Sicherheitslücken auf so einem SuSE Linux wirklich existieren, und wie man ein Angriffswerkzeug schreiben kann, bzw. nach welchem man auf http://www.ussrback.com oder http://www.packetstormsecurity.com suchen muß .... > > Ich habe grsecurty seit Monaten in mehreren Produktionsservern laufen > und es läuft prima (und tut genau das, was es soll). > Danke für den Hinweis.... > Evtl interessant ist auch vserver, das Teil bietet quasi genau die > Partitionierbarkeit von IBM Mainframes, aber unter Linux an. Eine Art > "VMware ohne VMware", man bootet einen 2. Kernel im Betrieb und hat ein > -fast- völlig getrenntes System, mit (optional) eigenem (oder > gespiegeltem, copy-on-write) Filesystem, eigener Netzwerkaddresse, > eigenem root-Account, usw usw usw. Performanceverluste sind nicht > vorhanden, weil bis auf ein paar ganz weniger Systembefehle nichts > abgefangen oder emuliert werden muss. > user-mode Linux, zu finden unter http://www.freshmeat.net scheint ähnliches zu leisten (außer chcontext ...), sind die verwandt miteinander ? > Ich bevorzuge bei Servern Debian (Geschmackssache, ich weiss), ich hatte > bisher bloss einmal das Bedürfnis irgendwas selbst zu kompilieren, und > das hat sich gegessen, weil ich den Maintainer von php4 angehauen habe > und er 2 Tage später ein Paket mit meinen gewünschten Compile-Optionen > fertig hatte (die störten den Rest nicht, sind also jetzt Default). > Dasselbe ist mir auch passiert - DEBIAN für Server ist einfach genial ....aber halt nix für Einsteiger - GENTOO Linux könnte das vielleicht werden ..... Gru/3, Guido --- Infos zur Mailingliste, zur Teilnahme und zum An- und Abmelden unter -->> http://www.4t2.com/mysql
php::bar PHP Wiki - Listenarchive