Egy mezei rendszergazdától ne várjuk el, hogy millió plusz egy kapcsolót ismerjen
Nem kell ismernie, felkérhet egy szakértőt rá, aki ismeri. Akár a Grsecurity csapata is szívesen segít a saját infrastruktúrán való bevezetésben.
Vagy nekik szánjuk és akkor kihagyjuk/elzárjuk ezeket a kapcsolókat
Azt azért érzed, hogy éppen arról beszélgetünk, hogy saját egyedi kernelt fordít az a "rendszergazda" és azt próbálod megmagyarázni, hogy a kernel configban ne lehessen ezeket beállítani. Ugye tudod mennyi kernel hacking és debugging eszköz érhető el a vanilla kernelben is, amelyek szintén kernel panicot okozhatnak? Akkor Linusék azokat is távolítsák el, mert egyesek utánajárás nélkül vakon bekapcsolhatják és lábon lőhetik vele magukat?
hanem csakis megfelelő feng-suizó embereken át terjesztjük
Ahogy írtam, felkérhet egy szakértőt. Senki se mondta, hogy a fénymásolókat karbantartó rendszergazdának is értenie kell ezekhez a dolgokhoz. Ha viszont ész nélkül elkezdi használni és lábon lövi magát vele, akkor azért ne a Grsecurity fejlesztők legyenek a felelősek...
A másik, hogy nagyon hibás szemléletnek tartom a kernel elpánikoltatását a biztonság nevében. Egy DOS támadás esetén, emiatt, pont triviális hibák kihasználásával is célt érhet a támadó, pont egy biztonságos kernelnél.
Itt most arról az esetről beszélünk, hogy a támadók már bejutottak a szerverre és rootot szeretnének szerezni egy privilégium eszkalációs kernel exploittal. Dönthetsz: vagy folyamatban lévő lokális támadást detektálva azonnal leállítod a rendszert, hogy megelőzd a sikeres root szerzést (kernel panic), vagy lenaplózod a próbálkozást és hagyod, hogy tovább próbálkozzon amíg vagy ő sikerrel jár, vagy te észreveszed a logban az eseményt (veszélyes ötlet, de ott van a report-only mód, amely használata esetén ezt is megteheted).
Amikor már lokálisan benn vannak a szervereden és ismernek egy kernel hibát, akkor a DoS támadást nem tudod megúszni. Akár report-only módban is megtehetik azt, hogy végtelenciklusban triggerelik az adott kernel hibát annyira, hogy csak a loggolással legyen elfoglalva a rendszer.
De lássuk be, a DoS támadásra ennél sokkal egyszerűbb megoldások léteznek. Ha valaki már bejutott a rendszeredbe, akkor nem DoS támadást akar elkövetni...
Igen. Továbbra is tartom, ha nem etetik a trollt, nem lesz belőle balhé.
Amikor már nem etették a trollt, akkor is még feljött az IRC csatornára kekeckedni.
Lehet itt most utólag okoskodni a teljes történet ismerete nélkül, csak butaságnak veszi ki magát.
TheReg-nek is azért lépte át az ingerküszöbét, mert dráma lett belőle.
Normális újságíró ismeri azt a régi mondást, hogy "Audiatur et altera pars", azaz hallgattassék meg a másik fél is. Ezt a The Registers újságírója nem tartotta be.