From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mithraen@freesource.info>
Message-ID: <435DF268.4040301@freesource.info>
Date: Tue, 25 Oct 2005 12:52:56 +0400
From: Denis Smirnov <mithraen@freesource.info>
Organization: "Seiros" LLC
User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050815)
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: Vitaly Lipatov <lav@altlinux.ru>
Subject: Re: [Comm] =?KOI8-R?Q?=F5=D1=DA=D7=C9=CD=CF=D3=D4=C9_=2C_=D3?=
	=?KOI8-R?Q?=D7=D1=DA=C1=CE=CE=D9=C5_=D3_=D0=C5=D2=C5=D0=CF=CC=CE=C5=CE?=
	=?KOI8-R?Q?=C9=C5=CD_=C2=D5=C6=C5=D2=C1?=
References: <200510120122.17553.lav@altlinux.ru>
	<20051023101032.GA27942@localhost>
	<200510242348.18706.lav@altlinux.ru>
In-Reply-To: <200510242348.18706.lav@altlinux.ru>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Cc: ALT Linux Community <community@altlinux.ru>
X-BeenThere: community@lists.altlinux.org
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: ALT Linux Community <community@lists.altlinux.org>
List-Id: ALT Linux Community <community.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/community>
List-Post: <mailto:community@lists.altlinux.org>
List-Help: <mailto:community-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Tue, 25 Oct 2005 08:53:11 -0000
Archived-At: <http://lore.altlinux.org/community/435DF268.4040301@freesource.info/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Vitaly Lipatov wrote:

>On Sunday 23 October 2005 14:10, Денис Смирнов wrote:
>  
>
>>Неисполняемый стек, который у нас только в ядрах 2.4 (с
>>патчами от openwall) улучшает ситуацию, не решая её полностью.
>>    
>>
>А, вот я про это и спрашивал. Спасибо!
>Но это же важно знать, что в 2.4 такое было, а в 2.6 - нет... 
>Жаль что нет, это было важным преимуществом.
>  
>
Это был патч от openwall.

Openwall это такие умные параноики, которые считают что система должна 
быть надёжной, и что пытаться сделать глюкалку безопасной смысле не имеет.

Как только ветка 2.6 по их мнению будет пригодна для серверов, эти патчи 
буду портированы на 2.6.

Есть другой путь -- пытаться использовать у себя grsecurity патч. Вещь 
интересная, но помнится против него в devel/devel-kernel высказывались 
матюки и обоснования почему в наших ядрах этой радости нет.

Моё личное IMHO -- надо разбираться с SElinux, и чтобы не было глюков 
первое время (год-два) использовать его в режиме "всё разрешено, что не 
запрещено", а мантейнеры пакетов по желанию могут закручивать гайки для 
конкретных сервисов.