Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

ubuntu vs. kernel logging

1 view
Skip to first unread message

Toth Andras

unread,
Jan 29, 2008, 6:23:13 PM1/29/08
to

ez miért jó:
3673 ? Ss 0:00 /bin/dd bs 1 if /proc/kmsg of /var/run/klogd/kmsg
3675 ? Ss 0:00 /sbin/klogd -P /var/run/klogd/kmsg

?

a.
_________________________________________________
linux lista - li...@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux

kroom...@gmail.com

unread,
Jan 30, 2008, 10:16:27 AM1/30/08
to

> ez miért jó:
> 3673 ? Ss 0:00 /bin/dd bs 1 if /proc/kmsg of /var/run/klogd/kmsg
> 3675 ? Ss 0:00 /sbin/klogd -P /var/run/klogd/kmsg

Ebben is irjak:
http://people.ubuntu.com/patches/sysklogd.no-root.diff

start/stop a dd process (running as root) which pipes /proc/kmsg to
/var/run/klogd/kmsg; this allows to run klogd entirely as user 'klogd'

--
Krisztian

Toth Andras

unread,
Jan 30, 2008, 12:15:47 PM1/30/08
to

kroom...@gmail.com wrote:
>> ez miért jó:
>> 3673 ? Ss 0:00 /bin/dd bs 1 if /proc/kmsg of /var/run/klogd/kmsg
>> 3675 ? Ss 0:00 /sbin/klogd -P /var/run/klogd/kmsg
>Ebben is irjak:
>http://people.ubuntu.com/patches/sysklogd.no-root.diff
>start/stop a dd process (running as root) which pipes /proc/kmsg to
>/var/run/klogd/kmsg; this allows to run klogd entirely as user 'klogd'

Aha. Köszi.

...

És ez egész pontosan mitől is véd meg? Teszem azt van egy sechólos
klogd-m, ami rootként fut. De az exploithoz nem a kernelt kell
rávennie a crackernek arra, hogy a megfelelő üzenetet loggolja?
És ahhoz nem kell már rég könyékig turkálnia kernel szinten a
rendszerben?

Plusz a dd biztos annyival biztonságosabb?

-rwxr-xr-x 1 root root 39k Jan 30 2007 /bin/dd
-rwxr-xr-x 1 root root 23k May 25 2006 /sbin/klogd

ldd /bin/dd
linux-gate.so.1 => (0xb7f59000)
librt.so.1 => /lib/tls/i686/cmov/librt.so.1 (0xb7f44000)
libc.so.6 => /lib/tls/i686/cmov/libc.so.6 (0xb7e13000)
libpthread.so.0 => /lib/tls/i686/cmov/libpthread.so.0 (0xb7e01000)
/lib/ld-linux.so.2 (0xb7f5a000)

ldd /sbin/klogd
linux-gate.so.1 => (0xb7f19000)
libc.so.6 => /lib/tls/i686/cmov/libc.so.6 (0xb7ddc000)
/lib/ld-linux.so.2 (0xb7f1a000)

(persze ez a gép itt rendes debián nem ******* ubuntu)

Hmmmm, ahogy nézem azt meg már mások se tudták, hogy miért nem működik
a /proc/kmsg chown/chmodolása...

a.

Gábor Lénárt

unread,
Jan 30, 2008, 12:39:52 PM1/30/08
to

On Wed, Jan 30, 2008 at 05:15:47PM +0000, Toth Andras wrote:
[...]

> Plusz a dd biztos annyival biztonságosabb?
>
> -rwxr-xr-x 1 root root 39k Jan 30 2007 /bin/dd
> -rwxr-xr-x 1 root root 23k May 25 2006 /sbin/klogd


Szerintem bizos hogy a dd biztonsagosab, marmint ha a dd mar fut azokkal a
parameterekkel amivel elindittoak akkor valoszinu read/write syscall-ok
vannak csak (strace-eltem: tenyleg ugy tunik), azert azt nehez elrontani
onnantol ;) Nem az szamit hogy a binaris merete vagy hasznalt libek
micsodak, hanem az, hogy itt arra van hasznalva, hogy a /proc/kmsg olvasasa,
es ami onnnan jon az a /var/run/klogd/kmsg-be irasa. Nyilvan ezt a
funkcionalitasban kene, hogy sechole legyen, az, hogy elozoleg a dd mondjuk
command line parse-olasa vagy barmi bugos, az tok lenyegtelen, mivel ugye
inditani ugyis vmi initscript fogja, utana csak az szamit hogy fut mar.

--
- Gábor

0 new messages