[sisyphus] file capabilities

[Dmitry V. Levin]

On Sun, Jan 23, 2011 at 12:44:27AM +0300, Dmitry V. Levin wrote:
> On Sat, Jan 22, 2011 at 08:22:38PM +0200, Victor Forsiuk wrote:
> > У меня, кстати, есть предложение перевести репозитарий на file capabilities.
> 
> Пожалуй что в этом сейчас практически очень мало смысла.
> На эту тему уже доступен некоторый анализ, см. напр.
> http://forums.grsecurity.net/viewtopic.php?f=7&t=2522

И, что тоже немаловажно, большинство пакетов придется пропатчить, чтобы
они правильно сбрасывали эти capabilities.  Например, в том же mtr сейчас
производятся действия вида setuid(getuid()); вряд ли такой вызов приведет
к сбросу capabilities, в результате чего mtr будет работать в более
привилегированном режиме, чем раньше.


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 198 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20110125/501372e8/attachment.bin>