[room] безопасности

Денис Смирнов =?iso-8859-1?q?mithraen_=CE=C1_altlinux=2Eru?=
Вт Сен 12 10:27:48 MSD 2006


On Tue, Sep 12, 2006 at 01:56:41PM +0800, Evgenii Terechkov wrote:

ET> Денис, а можно эту информация как-то дополнить? Что именно так уж не
ET> понравилось? Нужный тут разумные доводы для (и про Федору тоже подыскиваю).
ET> У меня есть одна машинка на полу-поддержке, но я там не настолько много
ET> делая(ал), чтоб что-то сильно негативное заметить.

Дык я-ж говорю -- достаточно посмотреть на такие волшебные вещи как наш
пакет chrooted, а также на наш control и уже задуматься. Потом посмотреть
глазками на патчи к glibc и openssh (я смотрел, волосы на голове
шевелиться начали).

Кстати, в редхат сделали хотя бы чтобы su/sudo были по-умолчанию доступны
только члены группы wheel?

Ну или последний обсуждавшийся пример -- pam'изация многих сервисов, того
же cron. Которая дает возможность ограничивать ресурсы для запускаемого из
cron добра.

Тут долго говорить можно. Главное -- мантейнеры пакетов это те, кто ими
пользуются, а не те кто их собирает по своим должностным обязанностям. Со
всеми вытекающими отсюда последствиями в виде часто гораздо более
продуманных сборок.

Или ещё пример -- -Wl,--as-needed, который у нас теперь по-умолчанию. То
бишь реально приложения/библиотеки линкуются только с теми библиотеками
которые используются, а не которые были указаны при линковке. Это
позволяет избежать лишних зависимостей (проблема, из-за которой многие так
недолюбливают бинарные дистрибутивы), а также пакеты стараются пилить на
субпакеты с разными зависимостями. Например тот же мой Asterisk распилен
так, чтобы человек, которой не использует отдельные модули не был вынужден
ставить себе библиотеки, с которыми они собраны.

Ещё пример -- у нас идет жестока борьба против статической линковки, в том
числе с использованием автоматизированых средств выявления этой пакости
(более известных как qa-robot Алексея Турбина). А в других дистрибутивах
очень многое линкуется статически.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Настоящий программист уже как минимум поменял три залитых пивом клавиатуры.



Подробная информация о списке рассылки smoke-room