Aus Linux-Magazin 04/2008

Auf den Punkt gebracht

Haben Sie Anregungen, Statements oder Kommentare? Dann schreiben Sie an [redaktion@linux-magazin.de]. Die Redaktion behält es sich vor, die Zuschriften und Leserbriefe zu kürzen. Sie veröffentlicht alle Beiträge mit Namen, sofern der Autor nicht ausdrücklich Anonymität wünscht.

Wo steckt das VDSO?

03/08, S. 104: Ich bin etwas verwirrt bezüglich der Aussagen zum Virtual Dynamic Shared Object (VDSO) im Kern-Technik-Artikel. Auf meinem System

tfoerste@n22 ~ $ uname -a
Linux n22 2.6.23-gentoo-r8 #2 Mon Feb 11 10:50:23 CET 2008 33 i686 Intel(R) Pentium(R) M processor 1700MHz GenuineIntel GNU/Linux

liefert der Befehl »grep vdso /proc/self/maps« folgende Ausgabe:

b7f3a000-b7f3b000 r-xp b7f3a000 00:00 0 [vdso]

Ich habe aber die entsprechende Option im Kernel gar nicht aktiviert:

tfoerste@n22 ~ $ zgrep VDSO /proc/config.gz
# CONFIG_COMPAT_VDSO is not set

Habe ich nun eine feste oder eine zufällige Adresse?

Toralf Förster, per E-Mail

Ihr Gentoo hat sich bezüglich VDSO-Konfiguration glücklicherweise für die sichere Variante entschieden. Die Adressenlage der VDSO-Page wird auf Ihrem System mit jedem Programmaufruf per Zufall ausgewählt. Das können Sie an zwei Kriterien ablesen. Erstens: Auf dem 32-Bit-System liegt die “kompatible” VDSO-Page fest an der Adresse »0xffffe000« (Abbildung 1), in Ihrem Fall lautet die Adresse »0xb7f3a000«. Zweitens ist die Option, die die Adresse fixiert (»CONFIG_COMPAT_VDSO«), ausgeschaltet. Sie ist – wie Ihre Nachfrage bestätigt – unglücklich konzipiert. Meist verbindet man mit Kompatibilität etwas Positives. In diesem Fall ist es aber im Gegenteil sicherer, inkompatibel zu sein. (Jürgen Quade)

Abbildung 1: Ist die VDSO-Page auf einem 32-Bit-Linux fest an die Adresse »0xffffe000« gebunden, ist das ein Sicherheitsrisiko, auch wenn diese Konfiguration beschönigend „Kompatibilitätsmodus“ heißt.

Abbildung 1: Ist die VDSO-Page auf einem 32-Bit-Linux fest an die Adresse »0xffffe000« gebunden, ist das ein Sicherheitsrisiko, auch wenn diese Konfiguration beschönigend „Kompatibilitätsmodus“ heißt.

Black-, White- und Greylisting

03/08, S. 92: Zum Thema Greylisting möchte ich hinzufügen: Gerade bei Botnetzen, die Viren feilbieten, ist mir in letzter Zeit aufgefallen, dass viele einen kompletten SMTP-Server implementieren. Wenn ich also Whitelisting unkontrolliert automatisiere, laufe ich Gefahr, nicht nur Netzbereiche mit tatsächlich echten Mailservern dauerhaft zu whitelisten, sondern beispielsweise auch Einwahlbereiche.

Meine Firma nutzt das Verfahren im umgekehrten Wege zum Blacklisten von Dial-in-Bereichen. Allerdings nur, nachdem wir die Augen über die Liste haben schweifen lassen, um offensichtliche Nicht-Dial-in-Bereiche zu entfernen.

Nach meiner Meinung ist das Problem, ob Black- oder Whitelisting, immer der Automatismus, da man nie alle Eventualitäten erfassen kann. Solange es keine bessere Alternative gibt, kommen wir um Greylisting & Co. aber kaum herum, wenn wir nicht ständig Hardware nachrüsten möchten.

Sven Holz, per E-Mail

Passwort-Kummer

03/08, S. 71 Charly Kühnast stellt das Programm Pwgen vor. Doch viele Admins verlangen häufiges Ändern nicht nur bei einfachen, sondern auch bei komplizierten Passwörtern. Wenn das komplizierte Passwort unmerkbar ist, aber alle paar Tage geändert werden muss, wird es notiert – wo auch immer.

Komplizierte Passwörter sollten nicht ablaufen oder sehr lange Wechselzyklen haben. Dafür dürfen sie dann auch mindestens 20 Zeichen lang sein, mindestens vier Zahlen, Sonderzeichen und mehrfachen Wechsel von Groß- und Kleinbuchstaben erfordern. Dann fordere ich aber zusätzlich Single-Sign-on.

Hanjörg Resa, per E-Mail

Den meisten Usern graut es beim Anblick solcher Passwörter. Was halbwegs funktioniert, sind individuelle Merksätze, also Eselsbrücken, bei denen die Anfangsbuchstaben das Passwort bilden: “Schneewittchen und die sieben Zwerge kochen abends Suppe” beispielsweise ergibt »Sud7ZkaS«. (Charly Kühnast)

Erratum

03/08, S. 96: In der Liste der bestplatzierten Rätselfüchse haben wir bedauerlicherweise Jochen Sprickerhof übersehen. Mit drei Fehlern gebührt ihm aber ebenfalls ein zweiter Platz.

LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben