odwrócenie bconda pax w glibc - upgrade do glibca bez wsparcia dla pax
Patryk Zawadzki
patrys at pld-linux.org
Sat Sep 30 11:07:52 CEST 2006
Dnia 29-09-2006, pią o godzinie 11:40 +0200, Marek Guevara Braun
napisał(a):
> Właśnie sprawdziłem na maszynie z aktywnym PaXem z 2.6.17.13-3 -
> zdowngradowałem poldkiem glibc do wersji bez poprawki paxowej i:
>
> - system nadal pracuje,
Bo usługi mają w pamięci so od glibca z PaX.
> - mogę dalej używać poldka (zupgradowałem openssh-*)
j.w.
> - nie mogę się zalogować na konsoli :-(
> - nie mogę się zalogować via ssh :-(
Bo dla nowych procesów ładowany jest już właściwy glibc, który nie ma
prawa działać.
> - działa moja stara sesja ssh - nadal jestem zalogowany :-)
> - działa moja stara sesja na konsoli :-)
> - przy restarcie sshd nowy daemon jest ubijany :-(
j.w.
> - o ile nie próbuje zrestartować sshd to ten nadal działa :-)
> - mogę wyjść z poldka i przejść do shella
Zabić możesz każdy proces, ale nic nie uruchomisz.
> - nie mogę ponownie uruchomić poldka
Podobnie nie uruchomisz basha, grepa, awka, ani nawet cata.
> - mogę na uprzednio zalogowanej sesji aktywować softmode via
> echo 1 > /proc/sys/kernel/pax/softmode
Jasne, tylko musiałbyś wiedzieć, że właśnie ubiłeś sobie system.
> - z aktywnym softmode mogę się logować lokalnie i via ssh (o ile
> nie restartowałem sshd), uruchomić poldka i przywrócić dobrego glibca.
> - po instalacji dobrego glibca mogę ponownie wyłączyć softmode
> echo 0 > /proc/sys/kernel/pax/softmode
>
> Czyli o ile zbyt szybko nie opóścimy shella w którym jesteśmy zalogowani
> upgradując glibca to możemy włączyć softmode i uratować system.
No pewnie, a poldek po upgrade glibca ci powie "uratuj system!" Problem
w tym, że nie będziesz nawet wiedział, że ubiłeś sobie system, chyba że
nagios ci w międzyczasie wyśle SMS, że usługi przestały działać (SSH nie
może działać, bo po autoryzacji spawnuje nową powłokę, którą PaX ubija).
--
Patryk Zawadzki <patrys at pld-linux.org>
PLD Linux
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: To jest cz??? listu podpisana cyfrowo
URL: </mailman/pipermail/pld-devel-pl/attachments/20060930/74459f4f/attachment.sig>
More information about the pld-devel-pl
mailing list