Default Linux Capabilities

minimike · Beitrag von **minimike** » 04.06.2008 04:44:50

Hi

ab 2.6.24 und AMD64 kann ich bei "make menuconfig -> Security Options -> Default Linux Capabilities" nur statisch in den Kernel kompelieren. ich hatte es aber gern als Modul für Dazuko und Realtime LSM die das benötigen
Gibt es hierfür eine Lösung?

gms · Beitrag von **gms** » 05.06.2008 15:55:52

minimike hat geschrieben:ich hatte es aber gern als Modul für Dazuko und Realtime LSM die das benötigen

Wieso wird von denen ein Modul benötigt ? Die sollten sich doch eigentlich mit der zur Verfügung gestellten Funktionalität begnügen.
Die Lösung wird daher über einen Patch oder eine neue Release von Dazuko und Realtime LSM führen. Schau mal ob es da schon was gibt, ansonsten wird es wahrscheinlich auch nicht schwer sein, entsprechende Patches zu basteln.
Ohne mich jetzt detailiert mit diesem Thema auseinander gesetzt zu haben, würde ich vermuten, daß da nur eine unnötige Abfrage beim Bauen der Module angepaßt werden muß.

Gruß
gms

Spasswolf · Beitrag von **Spasswolf** » 05.06.2008 17:14:35

Die Fehlermeldung aus dazuko-2.3.4/configure klingt zumindest so als wäre es wichtig, das es ein capabilities Modul gibt.

echo "built-in "
echo "error: capabilities are built-in to the kernel:"
echo " you will need to recompile a kernel with capabilities"
echo " as a kernel module"
exit 1

gms · Beitrag von **gms** » 05.06.2008 17:53:22

Spasswolf hat geschrieben:Die Fehlermeldung aus dazuko-2.3.4/configure klingt zumindest so als wäre es wichtig, das es ein capabilities Modul gibt.

ja, in der FAQ habe ich folgendes gefunden:

http://dazuko.dnsalias.org/wiki/index.php/FAQ#What_does_.22error:_capabilities_are_built-in_to_the_kernel.22_mean.3F hat geschrieben: What does "error: capabilities are built-in to the kernel" mean?

The Linux Default Capabilities security module has been compiled into the kernel itself rather than as a separate module. The Linux Security Model for Linux 2.6 allows multiple security modules to be loaded, but only when the modules themselves allow others to be loaded. The "capability" module unfortunately does not allow other modules to be loaded. However, Dazuko does allow module "stacking". This means that if Linux Default Capabilities are compiled as a separate module, then Dazuko can be loaded first and "capability" loaded afterwards, allowing both security modules to exist together.

This means that you will need to build a new kernel with Linux Default Capabilities as a module, rather than built in.

tja, Dazuko umzuschreiben dürfte dann doch ein gröberer Aufwand sein

Hier noch eine Erklärung warum diese Funktionalität jetzt statisch im Kernel ist:

http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=20510f2f4e2dabb0ff6c13901807627ec9452f98;hp=5c3b447457789374cdb7b03afe2540d48c649a36 hat geschrieben: Convert LSM into a static interface, as the ability to unload a security
module is not required by in-tree users and potentially complicates the
overall security architecture

Lirion · Beitrag von **Lirion** » 09.06.2008 04:19:55

Das Problem hatte ich auch, hab dann aber aus Mangel an Flexibilität seitens der dazuko-Macher das Ganze weggelassen. Mein Antivir braucht keinen zusätzlichen Schnickschnack, wäre nur ein Gimmick gewesen ^^
Und da es ein Security Issue ist...

debianforum.de

Default Linux Capabilities

Default Linux Capabilities

Re: Default Linux Capabilities

Re: Default Linux Capabilities

Re: Default Linux Capabilities

Re: Default Linux Capabilities