Product SiteDocumentation Site

4.14. Den Kernel patchen

Debian GNU/Linux stellt verschiedene Patches für den Linux-Kernel zur Verfügung, welche die Sicherheit erhöhen:
  • Erkennung von Eindringlingen für Linux (http://www.lids.org, enthalten im Paket lids-2.2.19). Dieser Kernelpatch erleichtert Ihnen, Ihr Linuxsystem abzuhärten, indem er Ihnen ermöglicht, Prozesse einzuschränken, zu verstecken und zu schützten, sogar vor Root. Er führt Fähigkeiten für eine zwingende Zugangskontrolle ein.
  • http://trustees.sourceforge.net/ (im Paket trustees). Dieser Patch fügt ein ordentliches, fortgeschrittenes Rechtemanagement Ihrem Linux-Kernel hinzu. Besondere Objekte, die »trustees« (Treuhänder) genannt werden, sind mit jeder Datei oder Verzeichnis verbunden. Sie werden im Speicher des Kernels abgelegt und erlauben so eine schnelle Abfrage aller Rechte.
  • NSA Enhanced Linux (im Paket selinux. Backports von Paketen, die SELinux unterstützen, sind unter http://selinux.alioth.debian.org/ erhältlich. Weiterführende Informationen können Sie auf der http://wiki.debian.org/SELinux und auf http://www.golden-gryphon.com/software/security/selinux.xhtml und http://www.coker.com.au/selinux/ SELinux-Webseiten finden.
  • Der http://people.redhat.com/mingo/exec-shield/ aus dem Paket kernel-patch-exec-shield. Dieser Patch schützt vor einigen Pufferüberläufen (stack smashing attacks).
  • Der http://www.grsecurity.net/ aus den Paketen kernel-patch-2.4-grsecurity und kernel-patch-grsecurity2 [36] verwirklicht Mandatory Access Control durch RBAC und stellt Schutz vor Pufferüberläufen durch PaX, ACLs, Zufälligkeit im Netzwerk (um die Erkennung von Spuren des OS zu erschweren) und http://www.grsecurity.net/features.php zur Verfügung.
  • kernel-patch-adamantix bietet die Patches an, die für die Debian-Distribution http://www.adamantix.org/ entwickelt wurden. Dieser Patch für den Kernel 2.4.x führt einige Sicherheitsfähigkeiten wie nichtausführbaren Speicher durch den Einsatz von http://pageexec.virtualave.net/ und Mandatory Access Control auf Grundlage von http://www.rsbac.org/ ein. Andere Features sind http://www.vanheusden.com/Linux/sp/, ein mit AES verschlüsseltes Loop-Gerät, Unterstützung von MPPE und eine Zurückportierung von IPSEC v2.6.
  • cryptoloop-source: Dieser Patch erlaubt Ihnen, die Fähigkeiten der Crypto-API des Kernels zu verwenden, um verschlüsselte Dateisysteme mit dem Loopback-Gerät zu erstellen.
  • Kernel-Unterstützung von IPSEC (im Paket kernel-patch-openswan). Wenn Sie das IPsec-Protokoll mit Linux verwenden wollen, benötigen Sie diesen Patch. Damit können Sie ziemlich leicht VPNs erstellen, sogar mit Windows-Rechnern, da IPsec ein verbreiteter Standard ist. IPsec-Fähigkeiten wurden in den Entwicklungskernel 2.5 eingefügt, so dass dieses Feature standardmäßig im zukünftigen Kernel 2.6 enthalten sein wird. Homepage: http://www.openswan.org. FIXME: Der neuste Kernel 2.4 in Debian enthält eine Rückeinbindung des IPSEC-Codes aus 2.5. Kommentar dazu.
Die folgenden Sicherheitspatches für den Kernel sind nur noch für alte Kernelversionen in Woody verfügbar und werden nicht mehr weiterentwickelt:
  • http://acl.bestbits.at/ (ACLs, Listen zur Zugangskontrolle) für Linux im Paket kernel-patch-acl. Dieser Kernelpatch stellt Listen zur Zugangskontrolle zur Verfügung. Das ist eine fortgeschrittene Methode, um den Zugang zu Dateien einzuschränken. Es ermöglicht Ihnen, den Zugang zu Dateien und Verzeichnisses fein abzustimmen.
  • Der Patch für den Linux-Kernel http://www.openwall.com/linux/ von Solar Designer, der im Paket kernel-patch-2.2.18-openwall enthalten ist. Er enthält eine nützliche Anzahl von Beschränkungen des Kernels wie eingeschränkte Verweise, FIFOs in /tmp, ein begrenztes /proc-Dateisystem, besondere Handhabung von Dateideskriptoren, einen nichtausführbaren Bereich des Stapelspeichers des Benutzers und andere Fähigkeiten. Hinweis: Dieser Patch ist nur auf die Kernelversion 2.2 anwendbar, für 2.4 werden von Solar keine Pakete angeboten.
  • kernel-patch-int. Auch dieser Patch fügt kryptografische Fähigkeiten zum Linux-Kernel hinzu. Er war bis zu den Debian-Releases bis Potato nützlich. Er funktioniert nicht mehr mit Woody. Falls Sie Sarge oder eine neuere Version verwenden, sollten Sie einen aktuelleren Kernel einsetzen, in dem diese Features bereits enthalten sind.
Wie auch immer, einige Patches werden von Debian noch nicht zur Verfügung gestellt. Wenn Sie denken, dass manche von ihnen hinzugefügt werden sollten, fragen Sie danach auf https://www.debian.org/devel/wnpp/index.de.html.


[36] Beachten Sie, dass ein Konflikt zwischen diesem Patch und den Patches besteht, die schon im Quellpaket des Kernels 2.4 von Debian enthalten sind. Sie werden den Vanilla-Kernel verwenden müssen. Dazu führen Sie folgende Schritte durch:
# apt-get install kernel-source-2.4.22 kernel-patch-debian-2.4.22 # tar xjf /usr/src/kernel-source-2.4.22.tar.bz2 # cd kernel-source-2.4.22 # /usr/src/kernel-patches/all/2.4.22/unpatch/debian