[room] безопасности

Evgenii Terechkov =?iso-8859-1?q?evg_=CE=C1_altlinux=2Eru?=
Вт Сен 12 11:22:53 MSD 2006 

Денис Смирнов пишет:

> Дык я-ж говорю -- достаточно посмотреть на такие волшебные вещи как наш
> пакет chrooted, а также на наш control и уже задуматься. Потом посмотреть
> глазками на патчи к glibc и openssh (я смотрел, волосы на голове
> шевелиться начали).

Кстати надо действительно на chrooted глянуть, а то тут возникла мысль один
из своих пакетов сделать чрутным (а сама программа совсем не умеет). Хотя
он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к
программе) средство чрутизаций?

> Кстати, в редхат сделали хотя бы чтобы su/sudo были по-умолчанию доступны
> только члены группы wheel?

Насколько могу знать - да (видел такое в FC4, а может и в сусе какой-то).

> Ну или последний обсуждавшийся пример -- pam'изация многих сервисов, того
> же cron. Которая дает возможность ограничивать ресурсы для запускаемого из
> cron добра.
> Тут долго говорить можно. Главное -- мантейнеры пакетов это те, кто ими
> пользуются, а не те кто их собирает по своим должностным обязанностям. Со
> всеми вытекающими отсюда последствиями в виде часто гораздо более
> продуманных сборок.
> Или ещё пример -- -Wl,--as-needed, который у нас теперь по-умолчанию. То
> бишь реально приложения/библиотеки линкуются только с теми библиотеками
> которые используются, а не которые были указаны при линковке. Это
> позволяет избежать лишних зависимостей (проблема, из-за которой многие так
> недолюбливают бинарные дистрибутивы), а также пакеты стараются пилить на
> субпакеты с разными зависимостями. Например тот же мой Asterisk распилен
> так, чтобы человек, которой не использует отдельные модули не был вынужден
> ставить себе библиотеки, с которыми они собраны.
> Ещё пример -- у нас идет жестока борьба против статической линковки, в том
> числе с использованием автоматизированых средств выявления этой пакости
> (более известных как qa-robot Алексея Турбина). А в других дистрибутивах
> очень многое линкуется статически.

Это-то я знаю, а есть ли примеры не "как у нас лучше сделано, а у них
такого нет/не сделано", а "у них это сделано плохо/криво"?

-- 
                                        С уважением, системный
                                        администратор ООО "Крастел",
                                        Терешков Евгений.

Подробная информация о списке рассылки smoke-room