Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Shop Recherche
1803 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Installation

  Optimisation du kernel: suppression des modules

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Optimisation du kernel: suppression des modules

n°1044075
rld
Posté le 22-05-2008 à 07:28:04  profilanswer
 

Salut à tous,
 
Je souhaite optimiser le kernel d'un des mes serveurs (donc dont la conf hardware ne change jamais).
Je pense à descendre en dur dans la compilation du noyau les modules chargés par le noyau au démarrage.
 
J'envisage aussi, pourquoi pas, pour le sécuriser, d'interdire le chargement de modules.
 
Cela vous paraît intéressant en terme de perfo / stabilité / sécurité ?
 
Merci

mood
Publicité
Posté le 22-05-2008 à 07:28:04  profilanswer
 

n°1044096
Taz
bisounours-codeur
Posté le 22-05-2008 à 09:34:07  profilanswer
 

ça ne change rien au niveau de perf. Pour interdire des modules intempestif, tu complètes la blacklist d'udev.

 

Y a rien de sécurisé à interdire le chargement des modules.

Message cité 1 fois
Message édité par Taz le 22-05-2008 à 09:34:14
n°1044174
zecrazytux
Posté le 22-05-2008 à 12:24:44  profilanswer
 

Taz a écrit :

ça ne change rien au niveau de perf. Pour interdire des modules intempestif, tu complètes la blacklist d'udev.
 
Y a rien de sécurisé à interdire le chargement des modules.


 
même pas contre un rootkit ?


---------------
Blog photo/récits activités en montagne http://planetcaravan.net
n°1044175
Taz
bisounours-codeur
Posté le 22-05-2008 à 12:29:59  profilanswer
 

faut être root pour charger un module faut pas l'oublier.

n°1044179
P-Y
Posté le 22-05-2008 à 12:48:54  profilanswer
 

Taz a écrit :

faut être root pour charger un module faut pas l'oublier.


sauf qu'on peut devenir root par des moyens détournés et pas toujours prévus au départ, cf le dernier exploit local root sur l'appel "vmsplice()" qui a défrayé la chronique il y a quelques mois... Et des joyeusetés comme ca qui tombent sur le kernel Linux, c'est malheureusement pas un cas exceptionnel, ni meme rare.
Donc je pense que désactiver complètement les LKM pour éviter de ramasser un rootkit, c'est plutot une bonne pratique, qui doit venir en complément d'autres mesures de sécurité évidemment.

n°1044218
Taz
bisounours-codeur
Posté le 22-05-2008 à 14:39:04  profilanswer
 

P-Y a écrit :


sauf qu'on peut devenir root par des moyens détournés et pas toujours prévus au départ, cf le dernier exploit local root sur l'appel "vmsplice()" qui a défrayé la chronique il y a quelques mois... Et des joyeusetés comme ca qui tombent sur le kernel Linux, c'est malheureusement pas un cas exceptionnel, ni meme rare.
Donc je pense que désactiver complètement les LKM pour éviter de ramasser un rootkit, c'est plutot une bonne pratique, qui doit venir en complément d'autres mesures de sécurité évidemment.


et alors ? t'es root t'es root, si le noyau ne te plait pas, tu le changes. C'est pas un "au mince je ne peux pas charger de module" qui va te bloquer.

n°1044219
Taz
bisounours-codeur
Posté le 22-05-2008 à 14:40:02  profilanswer
 

P-Y a écrit :

donc je pense que désactiver complètement les LKM pour éviter de ramasser un rootkit, c'est plutot une bonne pratique, qui doit venir en complément d'autres mesures de sécurité évidemment.

c'est une pratique qui ne sert à rien.

n°1044220
rld
Posté le 22-05-2008 à 14:46:05  profilanswer
 

Cecit dit, le projet GrSecurity permet entre autres, d'interdire le chargement de modules dans ton kernel.
Je pense qu'ils ne le font pas pour rien

n°1044224
Taz
bisounours-codeur
Posté le 22-05-2008 à 15:06:42  profilanswer
 

Bah explique moi pourquoi. La seule chose que ça permet, c'est que si t'as un module à changer (pour des raisons de sécurité par exemple), et bien t'es obligé de rebooter.

n°1044234
P-Y
Posté le 22-05-2008 à 15:26:35  profilanswer
 

Taz a écrit :


et alors ? t'es root t'es root, si le noyau ne te plait pas, tu le changes. C'est pas un "au mince je ne peux pas charger de module" qui va te bloquer.


Mouais, enfin le fait de pouvoir charger son module tranquillement, ca facilite quand meme beaucoup les choses, parce que si tu te rates en voulant tripatouiller le kernel en live, tu risques fort de faire rebooter la machine, niveau discretion c'est pas top quand meme...

mood
Publicité
Posté le 22-05-2008 à 15:26:35  profilanswer
 

n°1044235
P-Y
Posté le 22-05-2008 à 15:29:15  profilanswer
 

Taz a écrit :

c'est une pratique qui ne sert à rien.


Ouais enfin a ce compte la, aucune machine n'est infaillable, a part debranchee et mise dans un coffre-fort, toussa, bref :sleep:
On est d'accord que c'est certainement pas la protection absolue (d'ailleurs en existe il une? je ne crois pas), mais ca complique quand meme beaucoup le travail d'un attaquant, donc c'est toujours bon a prendre.

n°1044240
Taz
bisounours-codeur
Posté le 22-05-2008 à 15:33:54  profilanswer
 

nan mais donne moi un exemple de quoi ça protège ? en quoi ça complique le travail d'un attaquant ? donne moi des exemples de rootkit qui sont implémentés avec un module noyau.

Message cité 1 fois
Message édité par Taz le 22-05-2008 à 15:34:14
n°1044246
P-Y
Posté le 22-05-2008 à 15:56:48  profilanswer
 

Taz a écrit :

nan mais donne moi un exemple de quoi ça protège ? en quoi ça complique le travail d'un attaquant ? donne moi des exemples de rootkit qui sont implémentés avec un module noyau.


Premier lien sur google:
http://eva.fit.vutbr.cz/~xhysek02/ [...] 129lkm.htm  
 
Le souci principal c'est qu'avec un lkm tu passes directement en espace noyau, et la c'est fini:
- tu ne peux plus avoir aucune confiance dans ton système (les syscalls peuvent etre traffiqués)
- toute activité non autorisée peut-etre camouflée complètement, meme face à un admin experimenté (meme raison, suffit de wrapper les syscalls pour cacher des fichiers/sockets/etc, et ton rootkit devient complètement indétectable, sauf a rebooter sur un liveCD et remonter la partition pour investiguer, une furtivité extrême qui est nettement plus délicate voire impossible à atteindre si tu restes en userland)

n°1044263
Taz
bisounours-codeur
Posté le 22-05-2008 à 16:55:38  profilanswer
 

Et alors ? Une machine compromise en root, tu peux la poubelliser directement. C'est totalement bidon comme pratique.

n°1044267
P-Y
Posté le 22-05-2008 à 17:14:06  profilanswer
 

Taz a écrit :

Et alors ? Une machine compromise en root, tu peux la poubelliser directement.


J'ai jamais dit le contraire.
Seulement, tu crois qu'un attaquant va t'envoyer un mail pour te dire que ta machine est compromise? :D Comme je disais, un rootkit en userland, il devrait être rapidement repéré pour peu que l'admin soit pas trop mauvais (checksum plus bons par exemple). Avec un rootkit kernel, c'est très loin d'etre dit, la meilleure et à peu près seule chance c'est de faire de l'analyse réseau, et comme on peut le voir avec le lien au dessus, si on utilise des ports conventionnels, bon courage...

n°1044275
Taz
bisounours-codeur
Posté le 22-05-2008 à 17:45:39  profilanswer
 

P-Y a écrit :


J'ai jamais dit le contraire.
Seulement, tu crois qu'un attaquant va t'envoyer un mail pour te dire que ta machine est compromise? :D Comme je disais, un rootkit en userland, il devrait être rapidement repéré pour peu que l'admin soit pas trop mauvais (checksum plus bons par exemple). Avec un rootkit kernel, c'est très loin d'etre dit, la meilleure et à peu près seule chance c'est de faire de l'analyse réseau, et comme on peut le voir avec le lien au dessus, si on utilise des ports conventionnels, bon courage...

Et alors ? pour modprober, il faut bien passer root à un moment. Tu ne peux pas faire l'un sans l'autre. T'as aussi le droit de checksummer ton kernel, etc.
 
Bon, j'y vais, j'arriverais pas à vous convaincre, je vous laisse faire tourner vos machines compromises. Croisez bien les doigts.

n°1044278
gug42
Posté le 22-05-2008 à 17:52:41  profilanswer
 

Tu vas perdre beaucoup de temps :
- compilation/recompilation du kernel (ah merde j'ai oublié ca ...)
- perte du support de la distrib : faille de sécu/bugs == recompilation

 


En plus je ne voie pas vraiment d'avantages ....
- gain de perf : null ou aucun
- sécurité : heu ...  nan ...

 


Pour moi, le seul moment ou tu dois recompiler un noyaux  :
- le driver bidule du kernel n'est pas inclus dans la compilation par défaut (ca m'est arrivé récément mais c'est de plus en plus rare)
- tu as absolument besoin de la dernière fonctionnalité !


Message édité par gug42 le 22-05-2008 à 17:52:59

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Installation

  Optimisation du kernel: suppression des modules

 

Sujets relatifs
[Nvidia] Kernel 2.6.25 et driver Nvidia 169.12-173.08Xen : Modules dans un DomU
MAJ distrib fedora[résolu]Suppression régulière de /var/tmp ?
comment trouver la version de mon kernel ?[Debian] Distrib lente après passage au kernel 2.6.18 ?
[RESOLU] Questions sur la compilation Kernel sous Ubuntu[RESOLU] Compilation noyau et modules
Compliation Kernel 2.6.24-2Installation module kernel
Plus de sujets relatifs à : Optimisation du kernel: suppression des modules


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR