Haben Sie Anregungen, Statements oder Kommentare? Dann schreiben Sie an [redaktion@linux-magazin.de]. Die Redaktion behält es sich vor, die Zuschriften und Leserbriefe zu kürzen. Sie veröffentlicht alle Beiträge mit Namen, sofern der Autor nicht ausdrücklich Anonymität wünscht.
03/08, S. 104: Ich bin etwas verwirrt bezüglich der Aussagen zum Virtual Dynamic Shared Object (VDSO) im Kern-Technik-Artikel. Auf meinem System
tfoerste@n22 ~ $ uname -a Linux n22 2.6.23-gentoo-r8 #2 Mon Feb 11 10:50:23 CET 2008 33 i686 Intel(R) Pentium(R) M processor 1700MHz GenuineIntel GNU/Linux
liefert der Befehl »grep vdso /proc/self/maps« folgende Ausgabe:
b7f3a000-b7f3b000 r-xp b7f3a000 00:00 0 [vdso]
Ich habe aber die entsprechende Option im Kernel gar nicht aktiviert:
tfoerste@n22 ~ $ zgrep VDSO /proc/config.gz # CONFIG_COMPAT_VDSO is not set
Habe ich nun eine feste oder eine zufällige Adresse?
Toralf Förster, per E-Mail
Ihr Gentoo hat sich bezüglich VDSO-Konfiguration glücklicherweise für die sichere Variante entschieden. Die Adressenlage der VDSO-Page wird auf Ihrem System mit jedem Programmaufruf per Zufall ausgewählt. Das können Sie an zwei Kriterien ablesen. Erstens: Auf dem 32-Bit-System liegt die "kompatible" VDSO-Page fest an der Adresse »0xffffe000« (Abbildung 1), in Ihrem Fall lautet die Adresse »0xb7f3a000«. Zweitens ist die Option, die die Adresse fixiert (»CONFIG_COMPAT_VDSO«), ausgeschaltet. Sie ist - wie Ihre Nachfrage bestätigt - unglücklich konzipiert. Meist verbindet man mit Kompatibilität etwas Positives. In diesem Fall ist es aber im Gegenteil sicherer, inkompatibel zu sein. (Jürgen Quade)
Abbildung 1: Ist die VDSO-Page auf einem 32-Bit-Linux fest an die Adresse »0xffffe000« gebunden, ist das ein Sicherheitsrisiko, auch wenn diese Konfiguration beschönigend „Kompatibilitätsmodus“ heißt.
03/08, S. 92: Zum Thema Greylisting möchte ich hinzufügen: Gerade bei Botnetzen, die Viren feilbieten, ist mir in letzter Zeit aufgefallen, dass viele einen kompletten SMTP-Server implementieren. Wenn ich also Whitelisting unkontrolliert automatisiere, laufe ich Gefahr, nicht nur Netzbereiche mit tatsächlich echten Mailservern dauerhaft zu whitelisten, sondern beispielsweise auch Einwahlbereiche.
Meine Firma nutzt das Verfahren im umgekehrten Wege zum Blacklisten von Dial-in-Bereichen. Allerdings nur, nachdem wir die Augen über die Liste haben schweifen lassen, um offensichtliche Nicht-Dial-in-Bereiche zu entfernen.
Nach meiner Meinung ist das Problem, ob Black- oder Whitelisting, immer der Automatismus, da man nie alle Eventualitäten erfassen kann. Solange es keine bessere Alternative gibt, kommen wir um Greylisting & Co. aber kaum herum, wenn wir nicht ständig Hardware nachrüsten möchten.
Sven Holz, per E-Mail
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
