Salut à tous,
 
Je souhaite optimiser le kernel d'un des mes serveurs (donc dont la conf hardware ne change jamais).
Je pense à descendre en dur dans la compilation du noyau les modules chargés par le noyau au démarrage.
 
J'envisage aussi, pourquoi pas, pour le sécuriser, d'interdire le chargement de modules.
 
Cela vous paraît intéressant en terme de perfo / stabilité / sécurité ?
 
Merci

ça ne change rien au niveau de perf. Pour interdire des modules intempestif, tu complètes la blacklist d'udev.

Y a rien de sécurisé à interdire le chargement des modules.

 
même pas contre un rootkit ?

faut être root pour charger un module faut pas l'oublier.

sauf qu'on peut devenir root par des moyens détournés et pas toujours prévus au départ, cf le dernier exploit local root sur l'appel "vmsplice()" qui a défrayé la chronique il y a quelques mois... Et des joyeusetés comme ca qui tombent sur le kernel Linux, c'est malheureusement pas un cas exceptionnel, ni meme rare.
Donc je pense que désactiver complètement les LKM pour éviter de ramasser un rootkit, c'est plutot une bonne pratique, qui doit venir en complément d'autres mesures de sécurité évidemment.

et alors ? t'es root t'es root, si le noyau ne te plait pas, tu le changes. C'est pas un "au mince je ne peux pas charger de module" qui va te bloquer.

c'est une pratique qui ne sert à rien.

Cecit dit, le projet GrSecurity permet entre autres, d'interdire le chargement de modules dans ton kernel.
Je pense qu'ils ne le font pas pour rien

Bah explique moi pourquoi. La seule chose que ça permet, c'est que si t'as un module à changer (pour des raisons de sécurité par exemple), et bien t'es obligé de rebooter.

Mouais, enfin le fait de pouvoir charger son module tranquillement, ca facilite quand meme beaucoup les choses, parce que si tu te rates en voulant tripatouiller le kernel en live, tu risques fort de faire rebooter la machine, niveau discretion c'est pas top quand meme...

Ouais enfin a ce compte la, aucune machine n'est infaillable, a part debranchee et mise dans un coffre-fort, toussa, bref
On est d'accord que c'est certainement pas la protection absolue (d'ailleurs en existe il une? je ne crois pas), mais ca complique quand meme beaucoup le travail d'un attaquant, donc c'est toujours bon a prendre.

nan mais donne moi un exemple de quoi ça protège ? en quoi ça complique le travail d'un attaquant ? donne moi des exemples de rootkit qui sont implémentés avec un module noyau.

Premier lien sur google:
http://eva.fit.vutbr.cz/~xhysek02/ [...] 129lkm.htm  
 
Le souci principal c'est qu'avec un lkm tu passes directement en espace noyau, et la c'est fini:
- tu ne peux plus avoir aucune confiance dans ton système (les syscalls peuvent etre traffiqués)
- toute activité non autorisée peut-etre camouflée complètement, meme face à un admin experimenté (meme raison, suffit de wrapper les syscalls pour cacher des fichiers/sockets/etc, et ton rootkit devient complètement indétectable, sauf a rebooter sur un liveCD et remonter la partition pour investiguer, une furtivité extrême qui est nettement plus délicate voire impossible à atteindre si tu restes en userland)

Et alors ? Une machine compromise en root, tu peux la poubelliser directement. C'est totalement bidon comme pratique.

J'ai jamais dit le contraire.
Seulement, tu crois qu'un attaquant va t'envoyer un mail pour te dire que ta machine est compromise? Comme je disais, un rootkit en userland, il devrait être rapidement repéré pour peu que l'admin soit pas trop mauvais (checksum plus bons par exemple). Avec un rootkit kernel, c'est très loin d'etre dit, la meilleure et à peu près seule chance c'est de faire de l'analyse réseau, et comme on peut le voir avec le lien au dessus, si on utilise des ports conventionnels, bon courage...

Et alors ? pour modprober, il faut bien passer root à un moment. Tu ne peux pas faire l'un sans l'autre. T'as aussi le droit de checksummer ton kernel, etc.
 
Bon, j'y vais, j'arriverais pas à vous convaincre, je vous laisse faire tourner vos machines compromises. Croisez bien les doigts.

Tu vas perdre beaucoup de temps :
- compilation/recompilation du kernel (ah merde j'ai oublié ca ...)
- perte du support de la distrib : faille de sécu/bugs == recompilation

En plus je ne voie pas vraiment d'avantages ....
- gain de perf : null ou aucun
- sécurité : heu ...  nan ...

Pour moi, le seul moment ou tu dois recompiler un noyaux  :
- le driver bidule du kernel n'est pas inclus dans la compilation par défaut (ca m'est arrivé récément mais c'est de plus en plus rare)
- tu as absolument besoin de la dernière fonctionnalité !