Weiß jemand von euch ob ich den Openwall Kernel-Patch für Kernel 2.4.20 nur auf den Originalkernel von kernel.org oder auch auf den SuSE Kernel anwenden kann?

Mfg
cane

der geht auch bei suse, dem kernel ist dsa immer wursch, die applicationen dahinter kotzen halt manchmal

joey

Original geschrieben von joey.brunner
der geht auch bei suse, dem kernel ist dsa immer wursch, die applicationen dahinter kotzen halt manchmal

joey


beim patchen kann es Probs geben, da Suse seine Kernel schon Patch. Du kannst es ja mal probieren, die Sourcen kann man ja immernoch löschen.

Steve

Werd mir sowieso den Original 2.4.20 von ftp.kernel.org installieren weil sich mein SuSE 2.4.19 nicht patchen läßt (oder ich es nicht hinkriege - patch -p1 2.4.2 gibt Fehlermeldungen en masse...)

Dann hab ich auch kein Prob mit Openwall mehr...

cane

das muss gehen, n arbeitskollege hat das beim kunden mal machen muessen... find ich uebrigends einen schmarrn, ein sicheres system auf einer suse "server" distri aufsetzen zu wollen... da muss mal schon ncoh einige Dinge mehr drehen... der Openwall sollte erst kurz vor LIDS und RU und RO ACS ansetzen.... davor muss man noch viele andere dinge machen, standard-bins umaendern. andere bash.. usw....


joey

welchen server sollst du denn aufsetzen, ich frag mich nur, weil mir nicht einfaellt, warum du nen 2.4er kernel brauchst und falls doch, warum einen solch neuen, fahre mit 2.0 (fast garnimmer) und 2.2 bei den servern immer noch super.... !!!

joey

Morgen joey


das muss gehen, n arbeitskollege hat das beim kunden mal machen muessen...
Bei Gelegenheit poste ich die Fehlermeldungen (bin nicht zu Hause)...


welchen server sollst du denn aufsetzen, ich frag mich nur, weil mir nicht einfaellt, warum du nen 2.4er kernel brauchst und falls doch, warum einen solch neuen, fahre mit 2.0 (fast garnimmer) und 2.2 bei den servern immer noch super.... !!!

Gar keinen:D

Ich möchte eine Standartdistri für den Normalnutzer absichern - also keine 100% Sicherheit sondern nur mehr Sicherheit.

Ich probier den 2.4.20 aus weil die 2,4er mehr Hardware und ACPI unterstützen.
Der Standart 2.4.19 wird von Openwall etc. leider nicht (offiziell) unterstützt...
Geht wohl nicht anders...

cane

Ich will dir dann ja nicht die Freude nehmen, aber es kann durchaus der Fall sein, dass - wenn du den openwall richtig einbindest - einige Clientprogramme nicht mehr vernuenfitg funzen werden, aber das siehst dann ja ;)

viel spass u glueck auf jeden fall ,)

joey

Danke für die Info...

Welche denn zum Beispiel - oder hast Du selber das Problem nicht gehabt sondern davon gehört?

auf meiner workstation habe ich keinen openwall, nur lids und SE... welche software betroffen ist, kann ich dir also nicht sagen, standardserver wie apache etc funzen aber natuerlich. es geht da mehr um die office-suiten und mp3 playa....(AFAIK)

joey

openwall werde ich mir installieren, weil dann generell kein code auf dem stack mehr ausführbar ist.
LIDS beschneidet die Systemcalls beliebiger Prozesse, oder?

Dann kann man doch eigentlich sagen, dass bei ordentlich konfigurierten LIDS ein Openwall gar nicht nötig ist.

Hast Du ein paar gute Links zu deutschen LIDS Seiten, die nicht beim ersten googeln zu finden sind?

Would be nice...

cane

so mein freund, fast... sowas nennt man immer gefaehrliches halbwissen ;) nein, ist nicht boese gemeint, aber du musst den kompletten zusammenhang verstehen....

stark vereinfacht gesagt:

die meisten luecken sind buffer overflows... ein exploit versucht jetzt was auf dem stack auszufuehren.... openwall kann dies in den meisten faellen verhindern. lids versucht die kernel caps (nicht die syscalls selbst) etwas in zaum zu halten.... das heisst, falls doch etwas passiert, kannst du mit lids eine art last line of defense bilden. schlagwort: root darf nicht mehr alles...

fuer ein sicheres system reicht dies allerdings noch nicht aus. du hast eben die systemcalls angesprochen. die systemcalls sind unsere schnittstelle zum ring 0 (dem kernel), wenn denen etwas passiert, dann haben wir verloren. das heisst, schafft es ein angreifer ein modul in den kernel zu laden, so ist dsa system kaputt ;)... du kannst die systemcalls mit linux kernel modulen so veraendern, dass das system absolut normal tut, aber alle "gefaherlichen" aktivitaeten verborgen bleiben...

um dies zu verhindern musst du den lkm support im kernel abstellen und den kernel monolithisch bauen...

so, jetzt kommen wir der sache schon naeher.. leider haben wir jetzt immer von stack-luecken gesprochen. nie von schlechter programmierung wie XSS. mit XSS ist es dann zum Beispiel moeglich (nehmen wir sendmail, php, apache oder was auch immer) eine beliebige datei (/etc/shadow) irgendwo hinzukopieren oder irgendwas damit anzustellen...

aber auch dagegen koennen wir etwas tun. dazu gibt es systracing und rule based access control .. damit kannst du bestimmten prozessen ACLs aufdruecken und sie machen nur noch was sie duefen...

natuerlich ist das auch noch nciht genug... linux hat zwar ein relativ gutes rechte system, doch leider nicht genug flags fuer die dateien und die attribute fuer dateien, kann root wieder entfernen... das heisst, wir brauchen neben dem rule based access control auch noch ein role based access control schema, das Objekte im System definiert (eine Datei oder einen Prozess), diesen dann durch einen Filter (Security Server) jagt und ueberprueft, ob dem Objekt (der anfrage eines Prozesse oder einer Datei oder die Anfrage eines Users auf ein Objekt) ein Subjekt zugeordnet werden darf. Das heisst, bevort der Kernel bzw. die Systemcalls die Anfrage bekommen, werden diese nochmals gefiltert...

Als letztes muss man noch das /dev/ System abaendern und das devfs benutzen, nachdem dies getan ist, sollte man sich an die Systemcalls wie fork benutzen, da man das Prozesslimit sehr leicht umgehen kann....

Hast du all diese Schritt anhand einer V O R H E R grundlich erstellen policy korrekt abgearbeitet, naeherst du dich der 99 % grenze (aus sicherheitssicht).... das system ist dann schnell und schlank. man kann nicht mehr mit ihm arbeten, aber es ist sicher... ein system in der DMZ sollte stets so aufgebaut sein... natuerlich ist dies noch besser, wenn die DMZ selbst sehr gut designed wurde....

dazu aber naechste woche mehr ;)

joey

ach ja die lids links....

die dokus auf www.lids.org und auf sans und securityfocus sind sehr gut, dort steht alles was man wissen muss....

joey

Danke für die ausführliche Antwort - sowas lob ich mir:)

Einen Großteil wußte ich (ansatzweise) aber Du hast es geschafft das Teilwissen, dass ich hatte in einen Gesammtkontext zu bringen! DANKE!!!


dazu aber naechste woche mehr

Hab ich was verpasst?
Erscheint ein Artikel in ct, ix, oder linux magazin?

cane

gern geschehen ;)

nein, nein es erscheint nichts (AFAIK), aber ich hatte keine lust mehr zu schreiben ;) du kansnt aber natuerlich jederzeit fragen. es ist naemlich nicht so ganz leicht einen solchen kernel zu bauen und diesen dann auch noch rihctig zu konfigurieren....

ich schreib das gerade fuer unsere service-techniker zusammen, das kann ich euch ja dann geben....

joey

Das wär doch was :D :D :D

ok, kein prob

@joey.brunner: Könntest du das hier reinstellen? Würd mich nämlich auch interessieren...

bitte, bitte, bitte.... ;-)

ri

jupp klar kann ich schon machen, was interessiert euch denn geanu? ist es vielleicht sogar sinnig die teile zu trennen? einmal openwall, einmal lids, einmal SE ?

was meint ihr ?

ich schreibe derzeit mit 5 Arbeitskollegen ein Buch ueber it security. das buch wird so in einem halben jahr oder so erscheinen. es wird utner der gdl stehen und frei verfuegbar sein, diese texte werden auch reinkommen....

joey

klinkt interessant. Kannst ja einfach mal posten was du hast. Mein Router will sicher werden.


Steve

ok gut, dann fang ich an, mal alles fuer den openwall zusammen zu schreiben und wenn die caro echt nichts von mir will, dann bekommt ihr auch noch lids... weiteres dann auf anfrage... format: plain ;)

joey

Original geschrieben von joey.brunner
ok gut, dann fang ich an, mal alles fuer den openwall zusammen zu schreiben und wenn die caro echt nichts von mir will, dann bekommt ihr auch noch lids... weiteres dann auf anfrage... format: plain ;)

joey


ich weiß jetzt nicht, was ich dir wünschen soll, aber trotzdem danke!

ist egal ;)

ich fange mit openwall an, das ist zwar dann aus dem zusammenhang gerissen, aber zum lernen tuts das auch. ich werde dann stueck fuer stueck das doku immer vervollstandnigen...

joey

Hallo zusammen,

in der Zeitschrift freeX (2/2003) ist ein Artikel über den Openwall-Patch.

Schaut da doch einfach mal rein.

Viele Grüße,
CEROG

tja und schau mal wer den geschrieben hat....

josef brunner

merkst was ???

genau

also ich weiss schon, was ich da schreibe ;)

Original geschrieben von joey.brunner

ich schreib das gerade fuer unsere service-techniker zusammen, das kann ich euch ja dann geben....

joey
Gibt es da nun schon etwas aktuelles?
:)