Opensolaris anti LKM infection

Post z dnia: 05/02/2007

Tak sobie myslalem ze majac podpisane przez SUNa moduly jadra mozna zmodyfikowac samo jadro odpowiednio tak aby nie dalo sie zaladowac niepodpisanych modulow, tylko ze:

  • /dev/kmem jest otworem nadal
  • root@opensol:/kernel/fs# elfsign verify tmpfs
    elfsign: verification of tmpfs passed.
    root@opensol:/kernel/fs# cp tmpfs tmpfs.new
    root@opensol:/kernel/fs# dd if=/dev/urandom of=bleh bs=1k count=1
    1+0 records in
    1+0 records out
    root@opensol:/kernel/fs# cat bleh >> tmpfs.new
    root@opensol:/kernel/fs# elfsign verify tmpfs.new
    elfsign: verification of tmpfs.new passed.

Czyli moge sobie dopisac co chce i tak lipa, nawet gdyby trzymac sume MD5 w jadrze poprawnych modulow(?) to i tak punkt pierwszy ( /dev/kmem ) jest slaboscia systemu – oczywiscie da sie go zlikwidowac.

Comments are closed.