[Comm] Re: Можно ли, не зная рутового пароля и без перезагрузки в single mode, зайти в систему?

[Oleg K. Artemjev]

On Wed, 25 Dec 2002 22:03:37 +0200
Michael Shigorin <mike на osdn.org.ua> wrote:

> http://search.altlinux.ru/?q=grsecurity
Поискал. Прочел на http://www.altlinux.ru/pipermail/castle/2002-April/000000.html
по поводу 'популистских'. Жажду увидеть со ссылками на куски патча в чем именно 
популистскость. 

От себя добавлю, что пока не разочаровался в ext3 и в 2.4 вообще, которое есть 
необходимость для ext3. Так что не желание делать ядро с grsec вылезает всего лишь 
в то, что это будет одним из первых моментов, которые я буду обслуживать на своей 
системе, если к тому моменту не появится не бетта ow. Кроме того, на безрыбье и рак
рыба. Я в том смысле, что нету у ow многих вкусностей grsec, хоть тресни. Более 
того, я так понимаю, что солару они не нужны их и не будет. Так чта я бы не стал 
так заносчиво отзываться о чужой работе не показывая пальцем на ошибки. =)

PS: Кстати, лично солар высказывался в ru.linux не столько в духе 'у них не будет 
работать защита', сколько в духе 'может обломиться то, что иначе бы работало'. Тут
уже вопрос выбора. А выбирать-то не из чего - под 2.2 в ALT'е ext3 патчи есть, 
BTW? Я честно  говоря не обратил внимания.. к тому же дело ведь не только в ext3. 
В 2.4 есть много чего другого приятного, чего в 2.2 просто не перетащищь 
адекватными усилиями..

PPS: Если Вы поищите в списке рассылки опенка примерно годичной или двухгодичной
 давности - там я пытался продавить аналог ow для obsd, они послали меня нах, я
их понимаю - опенок у нас был скачанный без поддержки на шару с сайта, в отличие 
от ALt Master, который сейчас обсуждается. К тому же моего английского не хватало
чтобы передать им все оттенки сарказма, которые я мог бы на них вывалить после 
фразы в духе "мы не будем делать этого, поскольку правильнее писать программы 
без ошибок". После этого я на них забил и больше нигде это ублдочное поделие не 
поставлю без крайней необходимости - ремотные рутовые эксплойты как раз вещами 
в духе ow и компенсируются, а для obsd я их за прошлый год видел _два_ - это уже 
слишком- их понты про самую секурную bsd с одной стороны оправданы - это 
действительно так (поскольку что Free, что Net - та еще по сравнению с опенкой, 
дыра), но с другой стороны это с лихвой компенсируется доведение идеологии до 
абсурда. Вероятно это именно тот самый фактор, который уже который год сдерживает
повяление локали в obsd.. ну и проч. и проч. ...

JFYI: На моей практике между сносом дырявого бинда (который как водится всегда 
дыряв, токо об этом не сразу становится известно) и выходом эксплойта к нему ow 
покрывал мою (и моих подчиненных) лень в течении двух или трех недель - я, AFAIR,
успел в отпуск съездить. 

Мне было довольно забавно услышать, что у этих тормозов из obsd team недавно появился 
неисполняемый стек - кто то таки их додавил. Это я к тому, что если идеологию не стоит 
доводить до абсурда - пока на 2.4 нет ничего кроме grsec - надо делать на grsec и не 
трендеть, что мол мы это не делаем не потому, что нам ресурсов временных не хватает 
или просто влом, а потому, что это идеологически не правильно. Идеология позволяет 
Вам поставить 2.4 из коробки, а вот поставить мало-мальски защищенное решение на нем - 
не позволяет - так, чтоли?? Впрочем castle это письмо не касается - там RSBAC, который
я пока не ковырял и о адекватности замены функциональности ow/grsec RSBAC'ом пока 
ничего сказать не могу.

PS: Если Вы, или кто либо, отфорвадит эту сентенцию в адрес неподтвержденной аргументами идеологии
в devel и/или соответствующему человеку, который отвечает за идеологическую возможность применения
grsec в ALT Master (не castle) - буду рад.

ЗЗЫ: Насчет более адекватного способа высказывать свои мысли лучше не ко мне, а сразу в /dev/null .

-- 
Bye.Olli.			http://olli.digger.org.ru