Haben Sie Anregungen, Statements oder Kommentare? Dann schreiben Sie an [redaktion@linux-magazin.de]. Die Redaktion behält es sich vor, die Zuschriften und Leserbriefe zu kürzen. Sie veröffentlicht alle Beiträge mit Namen, sofern der Autor nicht ausdrücklich Anonymität wünscht.
Wo steckt das VDSO?
03/08, S. 104: Ich bin etwas verwirrt bezüglich der Aussagen zum Virtual Dynamic Shared Object (VDSO) im Kern-Technik-Artikel. Auf meinem System
tfoerste@n22 ~ $ uname -a Linux n22 2.6.23-gentoo-r8 #2 Mon Feb 11 10:50:23 CET 2008 33 i686 Intel(R) Pentium(R) M processor 1700MHz GenuineIntel GNU/Linux
liefert der Befehl »grep vdso /proc/self/maps« folgende Ausgabe:
b7f3a000-b7f3b000 r-xp b7f3a000 00:00 0 [vdso]
Ich habe aber die entsprechende Option im Kernel gar nicht aktiviert:
tfoerste@n22 ~ $ zgrep VDSO /proc/config.gz # CONFIG_COMPAT_VDSO is not set
Habe ich nun eine feste oder eine zufällige Adresse?
Toralf Förster, per E-Mail
Ihr Gentoo hat sich bezüglich VDSO-Konfiguration glücklicherweise für die sichere Variante entschieden. Die Adressenlage der VDSO-Page wird auf Ihrem System mit jedem Programmaufruf per Zufall ausgewählt. Das können Sie an zwei Kriterien ablesen. Erstens: Auf dem 32-Bit-System liegt die “kompatible” VDSO-Page fest an der Adresse »0xffffe000« (Abbildung 1), in Ihrem Fall lautet die Adresse »0xb7f3a000«. Zweitens ist die Option, die die Adresse fixiert (»CONFIG_COMPAT_VDSO«), ausgeschaltet. Sie ist – wie Ihre Nachfrage bestätigt – unglücklich konzipiert. Meist verbindet man mit Kompatibilität etwas Positives. In diesem Fall ist es aber im Gegenteil sicherer, inkompatibel zu sein. (Jürgen Quade)

Abbildung 1: Ist die VDSO-Page auf einem 32-Bit-Linux fest an die Adresse »0xffffe000« gebunden, ist das ein Sicherheitsrisiko, auch wenn diese Konfiguration beschönigend „Kompatibilitätsmodus“ heißt.
Black-, White- und Greylisting
03/08, S. 92: Zum Thema Greylisting möchte ich hinzufügen: Gerade bei Botnetzen, die Viren feilbieten, ist mir in letzter Zeit aufgefallen, dass viele einen kompletten SMTP-Server implementieren. Wenn ich also Whitelisting unkontrolliert automatisiere, laufe ich Gefahr, nicht nur Netzbereiche mit tatsächlich echten Mailservern dauerhaft zu whitelisten, sondern beispielsweise auch Einwahlbereiche.
Meine Firma nutzt das Verfahren im umgekehrten Wege zum Blacklisten von Dial-in-Bereichen. Allerdings nur, nachdem wir die Augen über die Liste haben schweifen lassen, um offensichtliche Nicht-Dial-in-Bereiche zu entfernen.
Nach meiner Meinung ist das Problem, ob Black- oder Whitelisting, immer der Automatismus, da man nie alle Eventualitäten erfassen kann. Solange es keine bessere Alternative gibt, kommen wir um Greylisting & Co. aber kaum herum, wenn wir nicht ständig Hardware nachrüsten möchten.
Sven Holz, per E-Mail
Passwort-Kummer
03/08, S. 71 Charly Kühnast stellt das Programm Pwgen vor. Doch viele Admins verlangen häufiges Ändern nicht nur bei einfachen, sondern auch bei komplizierten Passwörtern. Wenn das komplizierte Passwort unmerkbar ist, aber alle paar Tage geändert werden muss, wird es notiert – wo auch immer.
Komplizierte Passwörter sollten nicht ablaufen oder sehr lange Wechselzyklen haben. Dafür dürfen sie dann auch mindestens 20 Zeichen lang sein, mindestens vier Zahlen, Sonderzeichen und mehrfachen Wechsel von Groß- und Kleinbuchstaben erfordern. Dann fordere ich aber zusätzlich Single-Sign-on.
Hanjörg Resa, per E-Mail
Den meisten Usern graut es beim Anblick solcher Passwörter. Was halbwegs funktioniert, sind individuelle Merksätze, also Eselsbrücken, bei denen die Anfangsbuchstaben das Passwort bilden: “Schneewittchen und die sieben Zwerge kochen abends Suppe” beispielsweise ergibt »Sud7ZkaS«. (Charly Kühnast)
|
Erratum |
|---|
|
03/08, S. 96: In der Liste der bestplatzierten Rätselfüchse haben wir bedauerlicherweise Jochen Sprickerhof übersehen. Mit drei Fehlern gebührt ihm aber ebenfalls ein zweiter Platz. |






