> Tandis que si quelqu'un installe un rootkit grace a un module, bah la je le sais pas.
Il y a maintenant une options (je n'ai pas la référence en tête) qui permet d'indiquer que le noyau ne doit plus charger de modules même si tu fais un "echo /sbin/modprobe > /proc/sys/kernel/modprobe". Je ne sais pas si c'est actuellement dans le 2.4 mais c'est dans le 2.6. Dans ce cas les seules possibilités est d'installer un nouveau noyau. Si le pirate a obtenu un accès root, il doit pouvoir, assez facilement, faire planter la bécane en trifouillant /proc/sys. L'admin aura l'impression que sa bécane a planté et ne pensera pas que c'est une attaque. Il est possible de virer le paramétrage du noyau via /proc/sys.
Ce que je veux dire "in fine", c'est que l'inhibition des modules n'est pas l'arme absolue. C'est par rapport à Christophe Baegert qui "claironne" :-) qu'il a évité les attaques car il n'a pas de modules. Je ne crois pas que c'est aussi simple. D'ailleur rien ne dit que ftp.gnu.org avait le support des modules ...
> comment on fait pour savoir quand quelqu'un obtient l'uid 0 grace a un exploit (le genre de truc qui apparait pas dans les logs auth)
Si c'est un exploit (pas via su etc), j'en sais rien.
[^] # Re: ftp.gnu.org compromis
Posté par ptit_tux . En réponse à la dépêche ftp.gnu.org compromis. Évalué à 3.
On est d'accord, pas de problème là dessus.
> Tandis que si quelqu'un installe un rootkit grace a un module, bah la je le sais pas.
Il y a maintenant une options (je n'ai pas la référence en tête) qui permet d'indiquer que le noyau ne doit plus charger de modules même si tu fais un "echo /sbin/modprobe > /proc/sys/kernel/modprobe". Je ne sais pas si c'est actuellement dans le 2.4 mais c'est dans le 2.6. Dans ce cas les seules possibilités est d'installer un nouveau noyau. Si le pirate a obtenu un accès root, il doit pouvoir, assez facilement, faire planter la bécane en trifouillant /proc/sys. L'admin aura l'impression que sa bécane a planté et ne pensera pas que c'est une attaque. Il est possible de virer le paramétrage du noyau via /proc/sys.
Ce que je veux dire "in fine", c'est que l'inhibition des modules n'est pas l'arme absolue. C'est par rapport à Christophe Baegert qui "claironne" :-) qu'il a évité les attaques car il n'a pas de modules. Je ne crois pas que c'est aussi simple. D'ailleur rien ne dit que ftp.gnu.org avait le support des modules ...
> comment on fait pour savoir quand quelqu'un obtient l'uid 0 grace a un exploit (le genre de truc qui apparait pas dans les logs auth)
Si c'est un exploit (pas via su etc), j'en sais rien.