On Sun, May 07, 2006 at 11:50:29PM +0400, Anton Farygin wrote:
> Dmitry V. Levin wrote:
> > On Sat, May 06, 2006 at 08:56:36PM +0400, Anton D. Kachalov wrote:
> >> On Sat, May 06, 2006 at 02:36:48PM +0300, Michael Shigorin wrote:
> >>>> ИМХО это только ухудшает ситуацию. Допустим, я хочу
> >>>> поэксперементировать с initrd. Что бы мне вызвать mkinird мне
> >>>> нужно sudo(или подобное), что потенциально более опасно. Может
> >>>> всё ж сделаем 755?
> >>> Если делать, то контролируемым.
> >> Ага. Очень весело, когда хэшером развернул чрут, а потом снаружи фиг
> >> доберёшься до /lib/modules или /boot, что иногда сильно достаёт.
> > 
> > Это мелочи.  Имеет место быть неразрешимая на вид проблема, которую
> > в очередной раз поставили в этом треде: выдача пользователям доступа
> > на чтение к модулям ядра одновременно даёт этим пользователям возможность
> > DoS'ить insmod/modprobe.
> 
> Так для новых ядер это просто исправляется. А для старых можно 
> понаписать всяких trigger'ов. или post-script'ов

Антон, прочти внимательнее:
Выдача пользователям доступа на чтение к модулям ядра одновременно даёт
этим пользователям возможность DoS'ить insmod/modprobe.


-- 
ldv