[d-kernel] [ругательства skip] Re: U: kernel-image-std-{up, smp}-2.4.22-alt11

Anton Farygin rider at altlinux.com
Mon Dec 1 14:41:40 MSK 2003


Michael Shigorin wrote:
> On Sun, Nov 30, 2003 at 12:12:49PM +0300, Sergey Vlasov wrote:
> 
>>- По просьбе Дмитрия Левина включена защита от исполнения кода
>>в стеке (Non-executable user stack area из патча Openwall), а
> 
> 
> Это нормально.
> 
> 
>>также ограничен доступ пользователей к /proc (Restricted /proc
>>из того же патча).
> 
> 
> А вот тут потребуются обоснования.  Сразу скажу, что класть эти
> грабли и заносить пользователей в группу proc считаю [skip]
> [beep] [BEEP].
> 
> Почему?
> 
> - обновляющимся (ведь у нас есть и такие, не только
>   устанавливающие с нуля) -- подкладывается проблема начиная с
>   top и заканчивая монитором сети;
> 
> - где планируется управлять группой proc?  Для тех, кто в танке,
>   повторю мысль еще раз -- ЕСЛИ НЕТ ГАЕЧНОГО КЛЮЧА, НЕЛЬЗЯ
>   ЗАКРУЧИВАТЬ ГАЙКИ.
> 
>   Сделаем нормальный конфигуратор групп (с объяснением, что что
>   дает и чем опасно) -- будем иметь право на такие выкрутасы.
> 
>   Сейчас -- не имеем.
> 
> На это мнение можно забить, но не рекомендуется.

Мы обсуждали это на #altlinux

Пришли в квыводу, что ldv@ модифицирует useradd, добавив туда 
возможность вносить пользователя в группы по умолчанию.

> 
> PS: Дима, я сегодня чего-то полдня читал cert.org и слегка под
> впечатлением.  _И тем не менее_.

И, тем не менее...

Rgds,
Rider



More information about the devel-kernel mailing list