Tobias Koenig tokoe@kde.org wrote:
*Kann man den Kernel irgendwie versiegeln? So dass keine weiteren Module mehr geladen werden koennen und auch sonst kein Schreibzugriff auf den Kernelspace (/dev/kmem) moeglich ist. Nach Moeglichkeit wuerde ich trotzdem gerne weiter den Debian-Kern verwenden.
Du kannst dir ein Modul schreiben was einfach den insmod() call in der syscall Tabelle auf eine Funktion verbiegt die nix tut... Nachdem du dieses Modul geladen hast laufen alle nachfolgenden insmod aufrufe also ins Leere.
Ist zwar Hardcore, aber man könnte sich immer noch mit direkter Arbeit an /dev/mem in den Kernelspace bringen. Das funktioniert sogar noch, wenn keine Module zugelassen sind. Für sowas ist grsec da, da sind die "security-batteries" included.
mfg, Fabian