Hallo !
Ich möchte den Kernel (2.6.5) auf meinem DSL-Router aus Sicherheitsgründen statisch kompilieren, d. h. ohne Module und ohne "Loadable Module Support". Leider habe ich dazu wenig gefunden. Ein paar Fragen:
1. Werden PCI-Netzwerkkarten ohne Probleme erkannt ? D. H. reicht dann ein ifconfig nach dem booten aus, oder muß man noch irgendwelche Kernel-Parameter beim Booten angeben ?
2. Eine der Netzwerkkarten ist eine ISA-NE2000-kompatible Netzwerkkarte, ohne PNP. Wie lautet der Kernel-Parameter, damit die Karte beim Booten erkannt wird ?
3. Gibt es sonst noch irgendwas, das man beachten muß (Distribution: Debian Sarge) ? Vielleicht hat ja schon jemand Erfahrungen damit gemacht.
Wenn's nen Howto dazu gibt würde mir das auch reichen, habe über Google nichts gefunden.
Kernel ohne Module
Hi
also wenn du den Kernel kompilierst und keine Module mit rein nehmen willst (das heißt, nicht zulassen willst, dass einige Module dynamisch nachgeladen werden), dann musst du natürlich die treiber für deine Karten mit rein kompilieren.
Aber was hat ein unterstütztes USB-Device oder sonst was mit der Sicherheit eines DSL-Routers zu tun? Da kümmere dich lieber um ein vernünftiges Firewall-Skript mittels ipchains oder iptables... und lass nicht so viele demons auf der maschine laufen...
also wenn du den Kernel kompilierst und keine Module mit rein nehmen willst (das heißt, nicht zulassen willst, dass einige Module dynamisch nachgeladen werden), dann musst du natürlich die treiber für deine Karten mit rein kompilieren.
Aber was hat ein unterstütztes USB-Device oder sonst was mit der Sicherheit eines DSL-Routers zu tun? Da kümmere dich lieber um ein vernünftiges Firewall-Skript mittels ipchains oder iptables... und lass nicht so viele demons auf der maschine laufen...
-
root_tux_linux
- Posts: 537
- Joined: 07. Dec 2003 21:07
- Location: Schweiz
Das Laden von Modulen ist eigentlich ein recht geringes Sicherheitsrisiko, solange es explizit geschieht, denn dann darf es nur root. Und wenn es jemand geschafft hat, root zu werden, braucht er das Laden von Modulen eh nicht mehr wirklich, weil er dann eh schon root ist. (weil er eine solche Sicherheitslücke vermutlich ausnutzen würde, um überhaupt root zu werden)
Das automatische Laden von Modulen ist hingegen - wie die Vergangenheit zeigte - nicht ganz so sicher.
Das automatische Laden von Modulen ist hingegen - wie die Vergangenheit zeigte - nicht ganz so sicher.
Es geht nicht darum, daß irgendein USB-Gerät unterstützt wird, sondern daß rootkits oft Module brauchen, damit sie funktionieren. Sicher, es gibt Wege drumherum, auch ohne Module. Aber wenn's die Sicherheit ein bißchen erhöht, warum nicht ?
Der Kernel ist schon fertig kompiliert. Kann ihn nur noch nicht einspielen, weil mir die Kernel-Parameter fehlen. Sind die evtl. irgendwo in der "Documentation" des Kernels ? Vielleicht stelle ich mich hier einfach nur etwas blöd an, aber z. B. habe ich keine Ahnung, wie ich die NE2000-Karte zum laufen bekomme (wird ja sicher, da ohne PNP, nicht automatisch gefunden). Google spuckt nicht zu wenig aus, sondern zu viel, finde mich da nicht durch.
Ein vernünftiges Firewall-Skript ist drauf, nach außen hin ist nur ein SSH-Port offen (+ DynDNS, der muß sein :), und das nicht mal auf dem Standard-Port. Ping nach draußen ist auch abgeschaltet, sonstige Sicherheitsmaßnahmen habe ich soweit möglich ergriffen. Tripwire wäre auch noch ne Option, muß nur noch nen Diskettenlaufwerk einbauen.
Der Kernel ist schon fertig kompiliert. Kann ihn nur noch nicht einspielen, weil mir die Kernel-Parameter fehlen. Sind die evtl. irgendwo in der "Documentation" des Kernels ? Vielleicht stelle ich mich hier einfach nur etwas blöd an, aber z. B. habe ich keine Ahnung, wie ich die NE2000-Karte zum laufen bekomme (wird ja sicher, da ohne PNP, nicht automatisch gefunden). Google spuckt nicht zu wenig aus, sondern zu viel, finde mich da nicht durch.
Ein vernünftiges Firewall-Skript ist drauf, nach außen hin ist nur ein SSH-Port offen (+ DynDNS, der muß sein :), und das nicht mal auf dem Standard-Port. Ping nach draußen ist auch abgeschaltet, sonstige Sicherheitsmaßnahmen habe ich soweit möglich ergriffen. Tripwire wäre auch noch ne Option, muß nur noch nen Diskettenlaufwerk einbauen.
-
Guest
Schau mal im Bootprompt-Howto: http://www.ibiblio.org/mdw/HOWTO/BootPr ... tml#ss11.1
Das sollte passen.
Jochen
Das sollte passen.
Jochen
-
Guest
Danke ! Werde es mal ausprobieren. Was mich wundert, ist daß die Karten automatisch erkannt werden sollen (es wird also nicht der Treiber, z. B. "ne", übergeben). Die ISA-Karte ist keine PNP-Karte, somit sollte das doch eher problematisch sein. Möglich schon, zu DOS-Zeiten ging es auch, aber oft sind die PCs beim Auto-Probing auch abgestürzt. Naja, werde es mal probieren.