(Created page with '= modprobe Whitelist = == Sommario == Add a whitelist of allowed modules and commands to modprobe, to allow the system administrator to limit the amount of (potentially vulnerab...') |
m (Obbiettivo->Obiettivo) |
||
(One intermediate revision by one other user not shown) | |||
Line 1: | Line 1: | ||
= modprobe | = Whitelist di modprobe = | ||
== Sommario == | == Sommario == | ||
Introdotta una ''whitelist'' con la lista di moduli e comandi permessi da modprobe, per limitare, da parte dell'amministratore di sistema, il numero dei programmi, potenzialmente vulnerabili, eseguibili nel kernel. | |||
== Progettista == | == Progettista == | ||
* Nome: [[User:Mitr| Miloslav Trmac]] | * Nome: [[User:Mitr| Miloslav Trmac]] | ||
* Email:[mailto:mitr@redhat.com mitr@redhat.com] | * Email:[mailto:mitr@redhat.com mitr@redhat.com] | ||
Line 14: | Line 13: | ||
== Descrizione dettagliata == | == Descrizione dettagliata == | ||
Il kernel, e le varie applicazioni che eseguono nello spazio utente, possono automaticamente caricare moduli del kernel indispensabili per eseguire certe azioni (p.e. l'inserimento di un flash disk con un particolare filesystem, può provocare l'inserimento di altro hardware e l'uso di un protocollo di rete non esplicitamente necessari). Ciò può causare anche agli utenti con ridotti privilegi di caricare moduli del kernel, e il codice del kernel potrebbe diventare vulnerabile. Questo progetto, riducendo le situazioni ad alto rischio per la sicurezza, consente agli amministratori del sistema di limitare i moduli caricati da ''modprobe'' ad una lista specifica di moduli configurata dall'amministratore, rendendo impossibile a utenti privi delle necessarie autorizzazioni di sfruttare le vulnerabilità nei moduli che ordinariamente non vengono utilizzati, p.e. quando si inserisce un dispositivo. | |||
modprobe | ''modprobe'' può anche eseguire comandi specifici invece di caricare un modulo, usando la direttiva ''install'' di configurazione; essa verrebbe ristretta usando la stessa whitelist. | ||
Per aiutare gli amministratori a compilare la whitelist, a modpobe sono aggiunte altre funzionalità; usando una particolare opzione, sarà possibile registrare (to log) tutte le informazioni in un file specificato, incluse le azioni svolte da modprobe all'avvio del sistema. Si fornisce inoltre uno script che compila una whitelist a partire dalle informazioni di log. | |||
== Vantaggi per Fedora == | == Vantaggi per Fedora == | ||
Se voluto e confgurato dall'amministratore di sistema, gli attacchi nello spazio kernel sono ridotti, evitando il rischio di sfruttare vulnerabilità nel codice del kernel raramente usato. | |||
Un sistema desktop di Fedora 12 tipico, correntemente usa circa 79 moduli, su 1964 moduli disponibili (4%). Ossia, includendo anche il file principale del kernel (/boot/vmlinuz*), il sistema desktop usa 8,36 MB di codice del kernel, su 34,66 MB di codice disponibile (24%). | |||
== Documentazione == | == Documentazione == | ||
Consultare le pagine di man: | |||
* | * modprobe.conf(5). | ||
* | * build-modprobe-whitelist(8) | ||
== Note di rilascio == | == Note di rilascio == | ||
Fedora ora consente agli amministratori del sistema di limitare ad un insieme ristretto esplicitamente selezionati, i moduli automaticamente caricati nel kernel. Questo serve a prevenire attacchi a codice del kernel vulnerabile, non strettamente necessario per le ordinarie operazioni del sistema (p.e. l'inserimento di un flash disk con un particolare filesystem, può provocare l'inserimento di altro hardware e l'uso di un protocollo di rete non esplicitamente necessari). Per i dettagli vedere le pagine di man build-modprobe-whitelist(8). | |||
Fedora | |||
== Altre informazioni == | == Altre informazioni == | ||
Per: | Per: | ||
* | * Obiettivi | ||
* Test Plan | * Test Plan | ||
* Esperienza Utente | * Esperienza Utente |
Latest revision as of 23:00, 29 August 2010
Whitelist di modprobe
Sommario
Introdotta una whitelist con la lista di moduli e comandi permessi da modprobe, per limitare, da parte dell'amministratore di sistema, il numero dei programmi, potenzialmente vulnerabili, eseguibili nel kernel.
Progettista
- Nome: Miloslav Trmac
- Email:mitr@redhat.com
Stato corrente
- Targeted release: Fedora 13
Per informazioni aggiornate sullo stato del progetto consultare la pagina originale di questo documento.
Descrizione dettagliata
Il kernel, e le varie applicazioni che eseguono nello spazio utente, possono automaticamente caricare moduli del kernel indispensabili per eseguire certe azioni (p.e. l'inserimento di un flash disk con un particolare filesystem, può provocare l'inserimento di altro hardware e l'uso di un protocollo di rete non esplicitamente necessari). Ciò può causare anche agli utenti con ridotti privilegi di caricare moduli del kernel, e il codice del kernel potrebbe diventare vulnerabile. Questo progetto, riducendo le situazioni ad alto rischio per la sicurezza, consente agli amministratori del sistema di limitare i moduli caricati da modprobe ad una lista specifica di moduli configurata dall'amministratore, rendendo impossibile a utenti privi delle necessarie autorizzazioni di sfruttare le vulnerabilità nei moduli che ordinariamente non vengono utilizzati, p.e. quando si inserisce un dispositivo.
modprobe può anche eseguire comandi specifici invece di caricare un modulo, usando la direttiva install di configurazione; essa verrebbe ristretta usando la stessa whitelist.
Per aiutare gli amministratori a compilare la whitelist, a modpobe sono aggiunte altre funzionalità; usando una particolare opzione, sarà possibile registrare (to log) tutte le informazioni in un file specificato, incluse le azioni svolte da modprobe all'avvio del sistema. Si fornisce inoltre uno script che compila una whitelist a partire dalle informazioni di log.
Vantaggi per Fedora
Se voluto e confgurato dall'amministratore di sistema, gli attacchi nello spazio kernel sono ridotti, evitando il rischio di sfruttare vulnerabilità nel codice del kernel raramente usato.
Un sistema desktop di Fedora 12 tipico, correntemente usa circa 79 moduli, su 1964 moduli disponibili (4%). Ossia, includendo anche il file principale del kernel (/boot/vmlinuz*), il sistema desktop usa 8,36 MB di codice del kernel, su 34,66 MB di codice disponibile (24%).
Documentazione
Consultare le pagine di man:
- modprobe.conf(5).
- build-modprobe-whitelist(8)
Note di rilascio
Fedora ora consente agli amministratori del sistema di limitare ad un insieme ristretto esplicitamente selezionati, i moduli automaticamente caricati nel kernel. Questo serve a prevenire attacchi a codice del kernel vulnerabile, non strettamente necessario per le ordinarie operazioni del sistema (p.e. l'inserimento di un flash disk con un particolare filesystem, può provocare l'inserimento di altro hardware e l'uso di un protocollo di rete non esplicitamente necessari). Per i dettagli vedere le pagine di man build-modprobe-whitelist(8).
Altre informazioni
Per:
- Obiettivi
- Test Plan
- Esperienza Utente
- Dipendenze
- Progetto corrente
- Commenti e Discussioni
visitare la pagina originale di questo documento.