odwrócenie bconda pax w glibc - upgrade do glibca bez wsparcia dla pax
Patryk Zawadzki
patrys w pld-linux.org
Sob, 30 Wrz 2006, 11:07:52 CEST
Dnia 29-09-2006, piÄ… o godzinie 11:40 +0200, Marek Guevara Braun
napisał(a):
> Właśnie sprawdziłem na maszynie z aktywnym PaXem z 2.6.17.13-3 -
> zdowngradowałem poldkiem glibc do wersji bez poprawki paxowej i:
>
> - system nadal pracuje,
Bo usługi mają w pamięci so od glibca z PaX.
> - mogę dalej używać poldka (zupgradowałem openssh-*)
j.w.
> - nie mogę się zalogować na konsoli :-(
> - nie mogę się zalogować via ssh :-(
Bo dla nowych procesów ładowany jest już właściwy glibc, który nie ma
prawa działać.
> - działa moja stara sesja ssh - nadal jestem zalogowany :-)
> - działa moja stara sesja na konsoli :-)
> - przy restarcie sshd nowy daemon jest ubijany :-(
j.w.
> - o ile nie próbuje zrestartować sshd to ten nadal działa :-)
> - mogę wyjść z poldka i przejść do shella
Zabić możesz każdy proces, ale nic nie uruchomisz.
> - nie mogę ponownie uruchomić poldka
Podobnie nie uruchomisz basha, grepa, awka, ani nawet cata.
> - mogę na uprzednio zalogowanej sesji aktywować softmode via
> echo 1 > /proc/sys/kernel/pax/softmode
Jasne, tylko musiałbyś wiedzieć, że właśnie ubiłeś sobie system.
> - z aktywnym softmode mogę się logować lokalnie i via ssh (o ile
> nie restartowałem sshd), uruchomić poldka i przywrócić dobrego glibca.
> - po instalacji dobrego glibca mogę ponownie wyłączyć softmode
> echo 0 > /proc/sys/kernel/pax/softmode
>
> Czyli o ile zbyt szybko nie opóścimy shella w którym jesteśmy zalogowani
> upgradując glibca to możemy włączyć softmode i uratować system.
No pewnie, a poldek po upgrade glibca ci powie "uratuj system!" Problem
w tym, że nie będziesz nawet wiedział, że ubiłeś sobie system, chyba że
nagios ci w międzyczasie wyśle SMS, że usługi przestały działać (SSH nie
może działać, bo po autoryzacji spawnuje nową powłokę, którą PaX ubija).
--
Patryk Zawadzki <patrys w pld-linux.org>
PLD Linux
-------------- nastêpna czê¶æ ---------
Załącznik, który nie był tekstem został usunięty...
Name: nie znany
Type: application/pgp-signature
Size: 189 bytes
Desc: To jest =?UTF-8?Q?cz=C4=99=C5=9B=C4=87?= listu
podpisana cyfrowo
Url : /mailman/pipermail/pld-devel-pl/attachments/20060930/74459f4f/attachment.sig
Wiêcej informacji o li¶cie dyskusyjnej pld-devel-pl