Linuxsicherheit : Kernelmodule

[Achim Dreyer]

On Thu, 16 Aug 2001, Andreas Koch wrote:

> Date: Thu, 16 Aug 2001 09:54:04 +0200
> From: Andreas Koch <a_koch at moellinger.hx.uni-paderborn.de>
> To: linux at lug-owl.de
> Subject: Linuxsicherheit : Kernelmodule
> 
> Hi,
> 
> wo wir doch grade so schön bei der Sicherheit ware habe ich denn 
> auch mal eine Frage. Und zwar geht es um Kernelmodule. Es gibt 
> ja inzwischen eine Reihe von Backdoors die als Modul direkt im 
> Kernel-Land sitzen und dort z.B. wie KIS (Kernel Intrusion System -
> http://uberhax0r.net/kis/) in der Lage sind u.a. Prozeße zu 
> verstecken so das sie mit lp oder ähnlichen garnicht mehr sichtbar 
> sind. Dann gibt es noch sowas wie ein bouncer / sniffer Ansatz wo 
> ein Kernelmodul sich zwischen das Netzwerkdivice und dem 
> TCP/IP-Stack setzt und damit direkten Zugriff auf Pakete hat bevor 
> sie überhaupt von TCP/IP in irgendeiner Log-datei vermerkt werden 
> (http://www.phrack.org/show.php?p=55&a=12). Die Frage ist wie 
> man sich vor sowas schützt. Gibt es inzwischen sowas wie Linux-
> Virenscanner die nach sowas ausschau halten ? (Die Zeit von 
> Virenfreien Linux scheinen sowieso gezählt zu sein). 
> Wenn man alles was man an Modulen so braucht direkt in den 
> Kernel backt kann man dann das Verwenden von Modulen 
> Kernelseitig unterbinden und sich so zu schützen oder ist das 
> nicht praktikabel ?


- Wenn man sich etwas auskennt und sich seinen Kernel selber baut, kann man
  immer noch alles benötigte statisch einbauen.

- Nur Module laden, die aus "sicherer Quelle" kommen (sch*** Bezeichnung,
  aber wenn ich Software installiere habe ich schliesslich das gleiche
  Problem)

Wichtig: als erstes den Kerneld abschalten, damit gar nicht erst die
Möglichkeit besteht das ein Automatismus ein Kernel-Modul nachlädt.


Regards,
Achim Dreyer

-----------------------------------------------------------------------
A. Dreyer, UNIX System Administrator and Internet Security Consultant