Login
Newsletter
Werbung

Fr, 27. Januar 2006, 11:49

Linux-Sicherheitsmodul soll Rootkits verhindern

Nachdem der Informatikstudent Amir Alsbih kürzlich eine Demonstration eines Rootkits für den Linux-Kernel 2.6 präsentiert hat, hat er nun auch ein Gegenmittel parat.

Die Meldung »Rootkit für Linux 2.6 demonstriert« hat zu einigen Reaktionen und Diskussionen geführt. Eine häufige Frage war dabei, was man gegen ein solches Rootkit tun kann. Speziell kam die Frage auf, ob ein Kernel-Modul oder andere Methoden zur Abwehr der Gefahr dieses Rootkits möglich wäre.

Amir Alsbih hat mit dem Kernel-Modul »Kernel-Guard« eine Antwort darauf gefunden. Kernel-Guard ist eine Art gutartiges Sicherheitsmodul, das alle Benutzer eines Linux-Systems einschließlich des Root-Benutzers daran hindert, Kernel-Module zur Laufzeit zu laden oder entladen.

Lädt man dieses Sicherheitsmodul nach allen anderen Modulen, die man benötigt, idealerweise gegen Ende des Bootvorgangs, dann ist das System gegen Angriffe, die ein auf Kernel-Modulen beruhendes Rootkit installieren wollen, gehärtet. Ein Angreifer kann, selbst wenn er Root-Privilegien hat, kein Kernel-Modul mehr laden bis zum Reboot. Zwar könnte er dafür sorgen, daß das Sicherheitsmodul nach dem Booten nicht mehr geladen wird, durch den Reboot steigt aber auch die Gefahr, daß er entdeckt wird.

Zwar verliert man durch das Laden von Kernel-Guard die Möglichkeit, weitere Module wie z.B. Treiber zu laden, doch ist dies besonders auf Serversystemen praktikabel, weil die Notwendigkeit für weitere Treiber im laufenden Betrieb kaum besteht.

Neben den Laden von Modulen gibt es eine weitere Möglichkeit, Code in den Kernel einzuschleusen. Über das Device /dev/kmem kann Kernel-Speicher verändert werden. Ab Version 2.6.14 des Linux-Kernels existiert dieses Device jedoch nicht mehr, da niemand eine sinnvolle Verwendung für es finden konnte.

Werbung
Kommentare (Insgesamt: 38 || Alle anzeigen )
Re: Filesystem überwachen (Andreas Gerth, Mo, 30. Januar 2006)
Re[3]: nett, aber ist es sinnvoll? (GeorG, So, 29. Januar 2006)
Re[4]: Ade zum "nicht rebooten müssen"... (my2cent, Sa, 28. Januar 2006)
Re[3]: Filesystem überwachen (broesel, Sa, 28. Januar 2006)
Re[2]: Filesystem überwachen (broesel, Sa, 28. Januar 2006)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung