Linuxsicherheit : Kernelmodule
sebastian.anding at gmx.de
sebastian.anding at gmx.de
Sat Aug 18 18:40:04 CEST 2001
On Thu, Aug 16, 2001 at 09:54:04AM +0200, Andreas Koch wrote:
Hallo aus Hamburg,
man kann auch die Module anders in den Kernel bringen ohne den modulloader und
zwar indem man es nach /dev/mem laed.
Sebastian
> Hi,
>
> wo wir doch grade so schön bei der Sicherheit ware habe ich denn
> auch mal eine Frage. Und zwar geht es um Kernelmodule. Es gibt
> ja inzwischen eine Reihe von Backdoors die als Modul direkt im
> Kernel-Land sitzen und dort z.B. wie KIS (Kernel Intrusion System -
> http://uberhax0r.net/kis/) in der Lage sind u.a. Prozeße zu
> verstecken so das sie mit lp oder ähnlichen garnicht mehr sichtbar
> sind. Dann gibt es noch sowas wie ein bouncer / sniffer Ansatz wo
> ein Kernelmodul sich zwischen das Netzwerkdivice und dem
> TCP/IP-Stack setzt und damit direkten Zugriff auf Pakete hat bevor
> sie überhaupt von TCP/IP in irgendeiner Log-datei vermerkt werden
> (http://www.phrack.org/show.php?p=55&a=12). Die Frage ist wie
> man sich vor sowas schützt. Gibt es inzwischen sowas wie Linux-
> Virenscanner die nach sowas ausschau halten ? (Die Zeit von
> Virenfreien Linux scheinen sowieso gezählt zu sein).
> Wenn man alles was man an Modulen so braucht direkt in den
> Kernel backt kann man dann das Verwenden von Modulen
> Kernelseitig unterbinden und sich so zu schützen oder ist das
> nicht praktikabel ?
>
> Andreas
More information about the Linux
mailing list