[sisyphus] [ругательства skip] Re: U: kernel-image-std-{up, smp}-2.4.22-alt11

[Michael Shigorin]

On Sun, Nov 30, 2003 at 12:12:49PM +0300, Sergey Vlasov wrote:
> - По просьбе Дмитрия Левина включена защита от исполнения кода
> в стеке (Non-executable user stack area из патча Openwall), а

Это нормально.

> также ограничен доступ пользователей к /proc (Restricted /proc
> из того же патча).

А вот тут потребуются обоснования.  Сразу скажу, что класть эти
грабли и заносить пользователей в группу proc считаю [skip]
[beep] [BEEP].

Почему?

- обновляющимся (ведь у нас есть и такие, не только
  устанавливающие с нуля) -- подкладывается проблема начиная с
  top и заканчивая монитором сети;

- где планируется управлять группой proc?  Для тех, кто в танке,
  повторю мысль еще раз -- ЕСЛИ НЕТ ГАЕЧНОГО КЛЮЧА, НЕЛЬЗЯ
  ЗАКРУЧИВАТЬ ГАЙКИ.

  Сделаем нормальный конфигуратор групп (с объяснением, что что
  дает и чем опасно) -- будем иметь право на такие выкрутасы.

  Сейчас -- не имеем.

На это мнение можно забить, но не рекомендуется.

PS: Дима, я сегодня чего-то полдня читал cert.org и слегка под
впечатлением.  _И тем не менее_.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20031130/d63f98b6/attachment-0009.bin>