secure-linux

Der secure-linux Kernel-Patch ändert das Verhalten des Linux-Kernels an einigen sicherheitsrelevanten Stellen :

• nicht-ausführbarer User-Stack :

  Der Stack wird nichtausführbar, damit werden Bufferoverflow-Exploits (eine Standard-Angriffstechnik) wesentlich schwieriger.

• beschränkte Links in /tmp :

  Es ist damit für User unmöglich in /tmp Hardlinks zu Files zu erzeugen die ihnen nicht gehören. Dies ist eigentlich sogar Soll-Verhalten da man eine solche Datei nicht wieder löschen kann. Daran gekoppelt ist ein Logging für versuchte Exploits. Betrifft +t Verzeichnisse.

• beschränkte Pipes in /tmp :

  Verbietet das Schreiben in Pipes die dem User (außer root) nicht gehören in +t Verzeichnissen. Erschwert datenfälschende Angriffe (gcc-Exploit).

• beschränktes /proc :

  Nicht-root User können nur ihre eigenen Prozesse sehen und können keine aktiven Netzwerkverbindungen sehen - es sei den sie gehören einer speziellen Gruppe an.

Zu finden ist dieser Patch unter :

http://www.false.com/security/linux/