On Sun, Nov 30, 2003 at 12:12:49PM +0300, Sergey Vlasov wrote:
> - По просьбе Дмитрия Левина включена защита от исполнения кода
> в стеке (Non-executable user stack area из патча Openwall), а

Это нормально.

> также ограничен доступ пользователей к /proc (Restricted /proc
> из того же патча).

А вот тут потребуются обоснования.  Сразу скажу, что класть эти
грабли и заносить пользователей в группу proc считаю [skip]
[beep] [BEEP].

Почему?

- обновляющимся (ведь у нас есть и такие, не только
  устанавливающие с нуля) -- подкладывается проблема начиная с
  top и заканчивая монитором сети;

- где планируется управлять группой proc?  Для тех, кто в танке,
  повторю мысль еще раз -- ЕСЛИ НЕТ ГАЕЧНОГО КЛЮЧА, НЕЛЬЗЯ
  ЗАКРУЧИВАТЬ ГАЙКИ.

  Сделаем нормальный конфигуратор групп (с объяснением, что что
  дает и чем опасно) -- будем иметь право на такие выкрутасы.

  Сейчас -- не имеем.

На это мнение можно забить, но не рекомендуется.

PS: Дима, я сегодня чего-то полдня читал cert.org и слегка под
впечатлением.  _И тем не менее_.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/