Ah... A questão é um pouquinho diferente para o Slackware "monolítico". Neste caso, onde ele quer a segurança, sugiro que pense no sistema como um todo. Não adianta proteger o kernel se, digamos, /usr/sbin/sshd está comprometido.
Talvez pareça melhor, neste caso, vigiar quais são os serviços atendidos e suas respectivas portas. Então, digamos que tenha httpd e sshd (dois bem 'diversos'). Daí, o ideal é também manter md5 de kernel (e, se tiver módulos, eles também), md5 do sshd e quaisquer bibliotecas que eles dependam de e o md5 do httpd e dos módulos (se o código para algo bem usado como mod_userdir estiver comprometido, não adianta ter o checksum só do httpd!). Checar sempre que necessário. Ou então, talvez mais fácil, montar / (contendo ao menos /boot, /lib, /bin, /sbin, /usr, /etc, quiçá /dev) como leitura, usar /tmp na memória se possível (tmpfs)... /var e /home como noexec/nosuid/etc. Para paranóia, tem um monte de coisas a se fazer. E, dependendo do quão crítico o sistema é, necessário. E se a luz cair sempre (auheau), tudo como sync ou ao menos dirsync :P Mas no meu gatewayzinho fica tudo no / mesmo e é uma várzea! :D []s! 2008/7/4 max <[EMAIL PROTECTED]>: > > 2008/7/3 Assuero <[EMAIL PROTECTED]>: > > max wrote: > > > > 2008/7/2 Psycho Mantys <[EMAIL PROTECTED]>: > > > > > > max wrote: > > > > > > 2008/7/1 Assuero <[EMAIL PROTECTED]>: > > > > > > > > Fala Slackers, > > > > Estou meio indeciso sobre compilar o kernel do slack como monolitico ou > > deixar modular mesmo, para implementação de um firewall Iptables. > > Teóricamente o sistema ficaria mais seguro contra instalação de rootkits > > e afins em caso de um comprometimento do firewall. > > Qualquer LKM que fosse necessário aos servicos na máquina que vai rodar > > o firewall, teria que ser compilado junto com o kernel. > > > > Ainda estou fazendo testes para ver se o processamento da máquina com > > todos os modulos carregados estaticamente vai ficar mais lento ou não. > > > > Alguem já implementou um firewall com slackware monolitico? > > > > T+ > > Assuero > > > > > > > > É indiferente, tratando-se de consumo de recursos/desempenho, o fato > > de usar algo como módulo ou embutido no kernel. > > > > > > > > > > > > > ########################################################################################################################### > > > > Nao era mais rapido? Tipo, pensei que fosse ...... > > Quer dizer que nao ajuda na hora de calcular nada no kernel? endereços > > de memoria relativos e talz?.... Vc tem alguma fonte disso? :s > > > > Valeu :D > > > > > > > > > > Dependendo do contexto pode ser mais prático, como alguém que atualiza > > o iptables sempre que sai algum patch ou desenvolvedores de algum > > componente do kernel, por exemplo. > > > > Sobre a performance, a diferença entre usar um módulo e usar algo > > embutido é que no primeiro caso tu tem que carregar um objeto de um > > arquivo, enquanto que usando algo embutido no kernel, estes objetos já > > estão carregados. O "endereçamento" de memória é o mesmo, uma vez > > carregado, o objeto se comporta da mesma forma, sendo módulo ou não. > > > > Quando chegar em casa eu posso pegar os links e dados sobre os livros > > com referências. > > > > > > > > > > > > Fala max e slackers.... > > > > Na verdade eu acredito que seja mais seguro compila-lo monoliticamente > para > > evitar possíveis instalações de rootkits que usem LKM's ou que infectem > um > > modulo de placa de rede ou coisa do tipo.. > > Imagina que um atacante consegue passar o firewall, eleva privilegios até > > conseguir o #.. e pra garantir acesso na rede, ele infecta ou > sobrescreve > > um modulo nativo com um modulo alterado com uma backdoor no codigo fonte? > > "Se" ele não forçar um DoS ou um reboot pra já carregar o modulo > infectado, > > quando restartar o server tu vai dar um lsmod tranquilao e vai apenas ver > os > > modulos nativos lindinhos lah.. nao vai ver bem na cara um modulo > > infectado... bem sinistro neh? > > Eu tou pensando em instalar esse kernel monolitico, porque na teoria, o > cara > > nao conseguiria subir mais "nada" a nivel de LKM no sistema "onthefly". > > Entendeu o porque estou pensando nisso? > > > > T+ > > Assuero > > Entendo (e espero :) que tu vai implementar mais soluções para > aumentar a segurança mas eu não vejo isso como uma grande "melhoria" > em relação a isso porque eu acho muito subjetivo afirmar o que alguém > que está atacando o servidor faz ou deixa de fazer. Por exemplo, uma > vez que eu tivesse controle sobre o sistema, eu poderia pegar o > .config do teu kernel, compilar uma nova imagem já com o "rootkit" e, > pela tua possivel falsa impressão de segurança (o que pode ser > subjetivo também) eu poderia presumir que tu não perceberia isso. > > Apesar de não ser uma melhoria significativa, um conjunto de pequenas > melhorias faz uma grande melhoria. :) > > Eu acho interessante o fato que muitas pessoas fazem estas > "mini-fortalezas" (não dizendo que seja o teu caso) e depois sentem > uma falsa impressão de segurança que os torna vulneráveis. É uma > questão complicada para discutir, já que envolve uma reação humana que > pode ser imprevisível. > > E cuida pra não confundir uma coisa: o linux *sempre* é monolítico, tu > pode ativar o suporte a carga de módulos adicionais, mas o kernel em > si é monolítico. :) > > > > -- Cesar Suga <[EMAIL PROTECTED]> Fair & Simple Networks Informática do Brasil Ltda. --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br -~----------~----~----~----~------~----~------~--~---
