Ich hatte da eben so eine Idee, als ich mit systrace rumgespielt habe: im Netz habe ich kaum Anleitungen zu Installation und Konfiguration von systrace gefunden und suche Leute, die es gerne selbst ausprobieren würden oder schon Erfahrungen damit gemacht haben und einen Kernelpatch nicht scheuen. Ziel: ein Doc über Installation und Konfiguration von systrace zu schreiben und eigene Erfahrungen mitzugeben.
Wer interessiert ist, kann sich das Tool unter folgender URL anschauen... http://www.citi.umich.edu/u/provos/systrace/

... und zurückschreiben, falls er mit an einem Doc arbeiten und sich selber mit dem Tool weiterbilden will.

Zur Kurz-Information: systrace ist ein Kernelpatch, über welchen man Programme aufrufen kann, deren systemcalls dann über das systrace-Programm gegen eine Reihe selbst definierter Policies gecheckt werden. Wird keine Übereinstimmung gefunden, fragt das Programm den User, ob der systemcall zulässig ist. So können von exploits (und anderen Schädlingen) aufgerufene Systemcalls abgefangen werden, noch bevor sie Schaden anrichten können! Es gibt zudem einen "Lern"-Modus, bei welchem systrace ein normales Verhalten eines Programms in Policies speichern kann. (...)

Hallo RTC,

willkommen im Club.
Ich beschäftige mich im Moment auch mit Systrace.
Oder eine LUG-Bischofswerda gründen.

Gruß Pfefferkuchen

*lol* ich glaube kaum, dass eine LUG-Schiebock (:D) viel Bestand hätte. Außerdem bin ich nur noch selten hier, eben jetzt über die Feiertage...
Aber die LUG-Bautzen hat ja schon ein paar Probleme und die ist neben DD die einzige hier im Umkreis!
Zu systrace: habe schon angefangen zu schrieben, muss mir nur noch ein Konzept ausarbeiten...

Gibt es eigentlich auch ein Kernelpatch für den 2.4.18-rc4 Kernel?

Irgendwie scheint die offizielle Webseite nur die neuesten Patches zur Verfügung zu stellen, was mich auch sehr verwundert hat. Ich werd mich mal umschauen, ob ich in irgendeinem Archiv die älteren Versionen auch finde!

@ string_val: Ich habe eine Mail an die systrace-Entwickler geschickt und von einem (marius aamodt eriksen <marius@umich.edu>) auch eine Antwort bekommen. Er meint, der 2.4.20-Patch sei abwärtskompatibel bis 2.4.17, also würde ich es mal mit dem probieren. Wenn's nicht klappt, kannst du die vermantschten Sourcen ja dann immernoch löschen und neu draufspielen. Ein Archiv für systrace-Kernelpatches scheint es allerdings nicht zu geben...

For so long...

ob der neue patch mit dem 18er geht kann ich nicht sagen, aber mit dem 19er hatte ich keine probleme...

joey

(Natuerlich meine ich den 19er kernel mit dem 20er patch.... wegen der abwaertskompatibilitaet)

Danke, werde ich dann mal ausprobieren. :)

Also beim Patchen habe ich keine Probleme gespürt.
Allerdings stürtzt bei mir Systrace die ganze Zeit ab (Segmentation Fault). Hat jemand ähmliche Probleme?
Und noch eine Frage: Hatte ihr auch Probleme, usr-systrace zu Kompilieren? Bei mir hat er ein Fehler in der systrace.h Datei gefunden. (PATH_MAX nicht definiert)

@string_val

Ich bekomme die gleiche Fehlermeldung beim Kompilieren wie du. Es scheint auch unterschiedliche Versionen von
Systrace (bei gleicher Versionsnummer)zu geben. Ich hatte von Debian die Pakete probiert, ohne Erfolg, nur mit anderen Fehlermeldungen.

MfG

Es ist schon komisch...
Ich hatte den Patch und die Programme von der Linux-Magazin-CD, doch auch bei mir lief nicht alles perfekt.
Kernelpatchen war noch die einfachste Angelegenheit, doch auch ich konnte usr-systrace anfangs nicht kompilieren!
Erst als ich ZUVOR gtk-systrace kompiliert hatte, lief es merkwürdigerweise. Trotzdem lief beim Run von systrace nicht alles glatt. So kam beim Aufruf von Programmen unter Kontrolle von systrace immer die Fehlermeldung "permission denied" bei den meisten Systemcalls und das Programm brach einfach ab. Nach einer Neukompilierung aller Komponenten funktioniert jetzt aber alles gut, außer das "systrace -A startx" manchmal hängen bleibt, wenn ich unter X heftig am Werkeln bin...

Zum Problem bei Kompilieren von usr-systrace: Ich habe in der Datei systrace.h (bei mir unter /usr/include/linux) die Zeile
#include <linux/limits.h> eingefügt. Danach hat's bei mir funktioniert. (Ob es jetzt so gut, Header-Files zu modifizieren wage ich mal zu bezweifeln, aber naja...)

/dev/systrace war bei mir am Anfang auch permission denied. Ich hab dann die Zugriefsrechte geändert (ich weiß nicht, ob das so gut ist). Hatte dann allerdings auch nur zur Folge, dass systrace -A sich jedesmal mit einem Segmentation fault verabschiedet.

Original geschrieben von string_val
Zum Problem bei Kompilieren von usr-systrace: Ich habe in der Datei systrace.h (bei mir unter /usr/include/linux) die Zeile
#include <linux/limits.h> eingefügt. Danach hat's bei mir funktioniert. (Ob es jetzt so gut, Header-Files zu modifizieren wage ich mal zu bezweifeln, aber naja...)

/dev/systrace war bei mir am Anfang auch permission denied. Ich hab dann die Zugriefsrechte geändert (ich weiß nicht, ob das so gut ist). Hatte dann allerdings auch nur zur Folge, dass systrace -A sich jedesmal mit einem Segmentation fault verabschiedet.

Hm, ja das sigsegv kam bei mir auch anfangs. Aber nach der Neu-Kompilierung ging es dann wirklich gut. K.A. woran es liegt, die Entwickler haben wohl noch viel Arbeit zu erledigen und konnten das System nur auf einigen Testrechnern prüfen. Nicht nur eine Nibelungen-Saga: Es soll ja auch Leute geben, die überhaupt keine Probleme mit systrace haben ;)

Ich werd mich auf jeden Fall nochmal damit auseinander setzen, warum systrace sich so grottenschlecht installieren lässt. Es scheint wohl auch distributions- und softwareabhängig zu sein, aber was ist das schon nicht...