Linuxsicherheit : Kernelmodule

Thu Aug 16 10:00:03 CEST 2001

Hi,

wo wir doch grade so schön bei der Sicherheit ware habe ich denn 
auch mal eine Frage. Und zwar geht es um Kernelmodule. Es gibt 
ja inzwischen eine Reihe von Backdoors die als Modul direkt im 
Kernel-Land sitzen und dort z.B. wie KIS (Kernel Intrusion System -
http://uberhax0r.net/kis/) in der Lage sind u.a. Prozeße zu 
verstecken so das sie mit lp oder ähnlichen garnicht mehr sichtbar 
sind. Dann gibt es noch sowas wie ein bouncer / sniffer Ansatz wo 
ein Kernelmodul sich zwischen das Netzwerkdivice und dem 
TCP/IP-Stack setzt und damit direkten Zugriff auf Pakete hat bevor 
sie überhaupt von TCP/IP in irgendeiner Log-datei vermerkt werden 
(http://www.phrack.org/show.php?p=55&a=12). Die Frage ist wie 
man sich vor sowas schützt. Gibt es inzwischen sowas wie Linux-
Virenscanner die nach sowas ausschau halten ? (Die Zeit von 
Virenfreien Linux scheinen sowieso gezählt zu sein). 
Wenn man alles was man an Modulen so braucht direkt in den 
Kernel backt kann man dann das Verwenden von Modulen 
Kernelseitig unterbinden und sich so zu schützen oder ist das 
nicht praktikabel ?

Andreas

-----------------------------------------------------
"Only two things are infinite, the universe and human 
 stupidity, and I'm not sure about the former." 
 -- Albert Einstein --
-----------------------------------------------------
  Dipl.-Ing. Andreas Koch                        
  Hydrology and Water Resources Management       
  University of Paderborn, Dept. Höxter          
  An der Wilhelmshöhe 44, 37671 Höxter, Germany  
  Phone  : (+49)  5271 / 687 - 177               
  Fax    : (+49)  5271 / 687 - 200               
  e-mail : A_Koch at moellinger.hx.uni-paderborn.de 
-----------------------------------------------------