Hi Konrad,
On Fri, Feb 09, 2007 at 13:15:25 +0100, Konrad Rosenbaum wrote:
*Kann man den Kernel irgendwie versiegeln? So dass keine weiteren Module mehr geladen werden koennen und auch sonst kein Schreibzugriff auf den Kernelspace (/dev/kmem) moeglich ist. Nach Moeglichkeit wuerde ich trotzdem gerne weiter den Debian-Kern verwenden.
Ohne Patchen des Kernels wird das wohl nicht gehen. Da auf silmor.de kein X laeuft (oder doch) wird /dev/mem jedenfalls nicht gebraucht. Alle char-major-1 Geraete wird man nicht wegwerfen koennen, da auch /dev/null und /dev/zero dazu zaehlen.
*Ich habe gehoert es gibt Probleme mit User-ID-Filtern in IPTables von Kernel 2.6.x. Ist das noch aktuell? (Diese Filter haben dieses mal verhindert, dass eine Katastrophe ausbricht - ich wuerde sie also gerne behalten.)
Soweit ich weiss, beschraenken sich die Probleme auf die Kombination SMP-Kernel / Owner Match Modul. Mit Uniprozessor-Kernels sollte es gehen. Wichtig bei Owner Match ist wohl, dass iptables gegen die Header des laufenden Kernel gebaut sein muss, da es die task-Struktur genau kennen muss.
Gruss, Chris