Hab die openwall-doku eigentlich fertig, dort wird aber nur die Kompilierung des Kernels beschrieben, werde in den naechsten Tagen dann noch lids hinzufuegen und dann die pervers-komplexe konfiguration.. ist das okay ?

ich mach es schritt fuer schritt u ihr sagt mir was kacke ist und was gut und was anders gehoert... ist jetzt gerade mal 2 seiten gross, das wird aber noch.... einfach zusammenschimpfen ;:)

wo soll ich es posten ?

bin mal essen

joey

Das ist super!
Ich werds lesen und ohne nachzudenken alles genausomachen wie Du's schreibst.
Denke dann sind Fehler am schnellsten ersichtlich.

Wo Du's posten sollst weiß ich auch nicht - besitze leider keinen Server :(

Ich schick Dir meine email per PN...

cane

ist unterwegs... hat laenger gedauert sorry, aber ich bin noch versumpft gestern....

wer interesse hat, melden. bin fuer weitere vorschlaege offen

joey

wieso postest du es nicht hier ?

MfG Markus

@ joey

hab beim Stöbern grad eine Alternative - namentlich Pax - zu Openwall gefunden.


PaX ist ein Kernel-Add-on, das Applikationen einen besonderen Schutz gegenüber Buffer-Overflow-Attacken verleiht. Dazu versieht es Speicherbereiche, die für Daten vorgesehen sind, mit einem Flag, das sie als "nicht ausführbar" markiert. Des weiteren wählt es die Speicheradressen, die bei Anwendungen beziehungsweise Bibliotheksfunktionen geladen werden, zufällig aus (address space layout randomization, ASLR). Da der Erfolg eines Buffer-Overflow-Angriffs davon abhängt, dass der Angreifer den genauen Speicherort eines Programms kennt, wird ihm die Attacke dadurch erheblich erschwert.

Wird bei Trusted Debian verwendet...

Hört sich interessant an...

kein kommentar, schau in die doku und such nach pax und schau was da dabei steht

joey

Original geschrieben von Da.Bull
wieso postest du es nicht hier ?

MfG Markus

klar werde ich es hier posten aber das ding hat laut wc -l gerade mal 79 zeilen, besteht derzeit also nur aus dem openwallpatch, sobald das mal etwas groesser ist /heute abend denke ich/ werde ich es auch hier posten

joey

Other nice kernel patches and more at http://www.trusteddebian.org/links.html

just look!

cane

so also ich bin jetzt gut weitergekommen, hab jetzt ne doku, die erklaert wie man

- openwall
- se
- dte
- lids

in den kernel einbaut... wollt ihr auch ne beschreibung fuer die konfiguration, wenn ja von was ? lids und SE oder?

gimme input

doku auch haben will :)

Ich habe gerade festgestellt, dass es nicht ganz so einfach ist, openwall UND lids in den Kernel zu backen (wegen Versionen etc, und da ich für die IP-Tables einen 2.4er brauche).

Stell die Doku doch in den Howto-Bereich, oder wenn du Webspace hast, mach im Howto-Bereich einen Link auf die Doku.

Gruss, Andy

jo,

also danke fuer die ganzen pn´s ;)

also die wunschliste sieht so aus....

kerneldoku auf 2.4er basis mit modularen kernel und vor allem ein howto fuer die konfiguration... bitte habt verstaendnis, dass ich das "haerten des systems" jetzt noch nicht besprechen werde. lasst uns beim kernel anfangen und uns dann hocharbeiten... sonst wirds zuviel u die doku wird nohc schlechter als sie eh schon ist ;)

joey

kerneldoku auf 2.4er basis mit modularen kernel

Mit modularem Kernel?
Da macht man sich aber wieder ein Stück Sicherheit zunichte...

Na ja - am grundsätzlichen Vorgang wird sich ja auch bei dem Bau eines Mono Kernels nichts ändern - also werd ich´s mir wohl abwandeln können...

cane

@cane:
Wenn du IPTables einsetzen willst, bist du auf Module angewiesen.

Und eine der Funktion von LIDS besteht gerade darin, das Laden von Modulen zu beeinflussen. Damit kann auch ein modularer Kernel vor Angriffen über ladbare Kernelmodule geschützt werden.

Gruss, Andy

Original geschrieben von RapidMax
Wenn du IPTables einsetzen willst, bist du auf Module angewiesen. Wieso? Du kannst iptables auch ganz wunderbar fest in den Kernel einbauen.

Ups, verbreite ich schon wieder Unwahrheiten? Ich habe es tatsächlich noch nicht ausprobiert. Ich mag mich an einen entsprechenden Artikel errinnern, der das behauptet. Ich suche den mal. Oder kann es sein, dass das früher nicht funktioniert hatte?

Gruss, Andy

Such den Artikel mal, aber ich hab die ganze Sache schon immer fest in den Kernel gejagt (AFAIR seid 2.4.0 )

Ok, ich hab in gefunden. Es handelt sich um das Buch "Linux Sicherheit, Security mit Open-Source-Software" von Tobias Klein, dpunkt Verlag. Unter Kernel-Kompilierung (Seite 169) schreibt er:

Wenn man den Host später z.B. als Gateway einsetzen möchte, so sollte man die Optionen für IP-Masquerading und den Einsatz von Modulen aktivieren, da diese Funktionen nur in einem modularen Kernel zur Verfügung stehen.

Allerdings hast du trotzdem Recht, das es sich hier um 2.2er-Kernel mit IP-Chaines handelt. Hier wurde anscheinend bei den IP-Tables nachgebessert. Dem monolitischen Kernel steht also nichts mehr im Wege...

Gruss, Andy

Ich denke eher das ist so geschrieben weil man viele Sachen ja normalerweise über mod xxx einbindet - also der Einfachheit halber.
Behaupte ich mal einfach so...

cane

Original geschrieben von cane
Ich denke eher das ist so geschrieben weil man viele Sachen ja normalerweise über mod xxx einbindet - also der Einfachheit halber.
Behaupte ich mal einfach so...

cane

ich denke, dass ein Monolithischer Kernel nicht nur Vorteile hat. Einige User können es sich einfach nicht leisten einen solchen Kernel zu bauen, weil der viel zu größ werden würde. Für Server ist es natürlich erforderlich sowas zu bauen.


Steve

hi ihr der kernel wird dann verdammt gross. dann kommt immer die coolse fehlermeldung ueberthaupt: kernel passt nicht mehr auf diskette ;)

joey

@ joey
das ist noch kein Fehler. Das ist IMO nur eine Warnung.