From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <3FCB28F4.6010709@altlinux.com> Date: Mon, 01 Dec 2003 14:41:40 +0300 From: Anton Farygin Organization: ALT Linux User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.5) Gecko/20031108 X-Accept-Language: en-us, en MIME-Version: 1.0 To: ALT Linux kernel packages development Subject: Re: [d-kernel] =?KOI8-R?Q?=5B=D2=D5=C7=C1=D4=C5=CC=D8=D3=D4=D7=C1?= =?KOI8-R?Q?_skip=5D_Re=3A_U=3A_kernel-image-std-=7Bup=2C_smp=7D?= =?KOI8-R?Q?-2=2E4=2E22-alt11?= References: <20031130091249.GD1762@sirius.home> <20031130173724.GR10424@osdn.org.ua> In-Reply-To: <20031130173724.GR10424@osdn.org.ua> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Cc: sisyphus@altlinux.ru X-BeenThere: devel-kernel@altlinux.ru X-Mailman-Version: 2.1.3 Precedence: list Reply-To: ALT Linux kernel packages development List-Id: ALT Linux kernel packages development List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 01 Dec 2003 11:35:18 -0000 Archived-At: List-Archive: List-Post: Michael Shigorin wrote: > On Sun, Nov 30, 2003 at 12:12:49PM +0300, Sergey Vlasov wrote: > >>- По просьбе Дмитрия Левина включена защита от исполнения кода >>в стеке (Non-executable user stack area из патча Openwall), а > > > Это нормально. > > >>также ограничен доступ пользователей к /proc (Restricted /proc >>из того же патча). > > > А вот тут потребуются обоснования. Сразу скажу, что класть эти > грабли и заносить пользователей в группу proc считаю [skip] > [beep] [BEEP]. > > Почему? > > - обновляющимся (ведь у нас есть и такие, не только > устанавливающие с нуля) -- подкладывается проблема начиная с > top и заканчивая монитором сети; > > - где планируется управлять группой proc? Для тех, кто в танке, > повторю мысль еще раз -- ЕСЛИ НЕТ ГАЕЧНОГО КЛЮЧА, НЕЛЬЗЯ > ЗАКРУЧИВАТЬ ГАЙКИ. > > Сделаем нормальный конфигуратор групп (с объяснением, что что > дает и чем опасно) -- будем иметь право на такие выкрутасы. > > Сейчас -- не имеем. > > На это мнение можно забить, но не рекомендуется. Мы обсуждали это на #altlinux Пришли в квыводу, что ldv@ модифицирует useradd, добавив туда возможность вносить пользователя в группы по умолчанию. > > PS: Дима, я сегодня чего-то полдня читал cert.org и слегка под > впечатлением. _И тем не менее_. И, тем не менее... Rgds, Rider