[room] безопасности

[Денис Смирнов]

On Tue, Sep 12, 2006 at 03:22:53PM +0800, Evgenii Terechkov wrote:

>> Дык я-ж говорю -- достаточно посмотреть на такие волшебные вещи как наш
>> пакет chrooted, а также на наш control и уже задуматься. Потом посмотреть
>> глазками на патчи к glibc и openssh (я смотрел, волосы на голове
>> шевелиться начали).
ET> Кстати надо действительно на chrooted глянуть, а то тут возникла мысль один
ET> из своих пакетов сделать чрутным (а сама программа совсем не умеет). Хотя
ET> он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к
ET> программе) средство чрутизаций?

vim :)

chrooted это чтобы копировать части системы, требуемые для приложения в
чрут. Например библиотеки, от которых зависит приложение и конфиги вроде
hosts.

>> Ещё пример -- у нас идет жестока борьба против статической линковки, в том
>> числе с использованием автоматизированых средств выявления этой пакости
>> (более известных как qa-robot Алексея Турбина). А в других дистрибутивах
>> очень многое линкуется статически.
ET> Это-то я знаю, а есть ли примеры не "как у нас лучше сделано, а у них
ET> такого нет/не сделано", а "у них это сделано плохо/криво"?

Хороший вопрос... Не знаю. Как трактовать отсутствие некоторых из патчей,
которые ldv@ успешно прикладывает, а в FC их нет -- отсутствием фичи или
просто кривой сборкой?

Собственно отсутствие целого пласта средств увеличения надежности, которые
мы используем это отсутствие фичи, или просто хреновая работа их QA?

Опять же с проверкой на статическую сборку -- я считаю необоснованую
статическую сборку blocker'ом, потому как в случае нахождения ошибки в
библиотеке надо пересобирать только её, а не кучу софта (притом неясно
какого именно).

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Русские программисты всегда в настроении для программирования.