[FreeBSD] options IPFIREWALL

[Zahemszky Gábor]

On Thu, Mar 14, 2002 at 12:01:10PM +0100, Csaba Tornyossy wrote:
> Egyebkent szerintem jobb a kernelficsor, mert nemhulyeseg tiltani a
> kernelmodulokat. Cr0w baratomnak volt egy peldaprogramkaja, ami dobott egy
> rootshellt, ha bevolt toltve a modulja. (~ example backdoor)

Eztet nem ertem.  Ha egy szarul megirt driver modulban volt, kaptam
shellt, ha meg kernelben akkor nem?  Vagy azt jelenti amit gondolok -
egy olyan modul, amit ha betoltottem es spec modon megszolitottam, akkor
jo volt nekem?  Mert az persze kevesbe erdekel :-)

> Ha tiltva vannak a kernelmodulok, legalabb a haxor eletet nehezited.
> legalabbis nehezebb jo backdoort elhelyezni a gepen.

Ez a neheziti a lenyeg.  Kar, hogy az fbsd-fejlesztok ugy dontottek, hogy
ez keves, igy ez a funkcio FBSD-ben eleg regota nincs implementalva -
gyakorlatilag amiota nem LKM, hanem KLD letezik.  Valahol volt egy peccs,
de nonstandard.  Altalaban a /dev/mem es /dev/kmem dolgokat szokjak ezzel
kapcsban emlegetni, mint ami miatt ennek nem sok teteje van. Igaz, security
level >=1-be allitasa elegendo - legalabbis az init(8) szerint, kar, hogy 
mivel FBSD-n nincs aperture driver, ez otthoni gepen nem igazan hasznalhato,
legalabbis ha az ember veletlenul X-et is akar hasznalni.  Vagy ez mar
megoldott, csak en nem tudok rola?  Tenyleg, mi a banatert nincs aperture
driver?  Valamikor lattam egy kezdemenyezest, h XYZ megprotolja, de aztan
eltunt a sullyesztoben.

ZG

-- 
#!/bin/ksh
Z='21N16I25C25E30, 40M30E33E25T15U!' ;IFS=' ABCDEFGHIJKLMNOPQRSTUVWXYZ ';set $Z ;for i { [[ $i = ? ]]&&print $i&&break;[[ $i = ??? ]]&&j=$i&&i=${i%?};typeset -i40 i=8#$i;print -n ${i#???};[[ "$j" = ??? ]]&&print -n "${j#??} "&&j=;typeset +i i;};IFS=' 0123456789 ';set $Z;X=;for i { [[ $i = , ]]&&i=2;[[ $i = ?? ]]||typeset -l i;X="$X $i";typeset +l i;};print "$X"