[sisyphus] U: kernel-image-std-{up,smp}-2.4.22-alt11

[sisyphus] U: kernel-image-std-{up,smp}-2.4.22-alt11

[Sergey Vlasov]

[-- Attachment #1: Type: text/plain, Size: 1177 bytes --]

Hello!

В Сизиф выложена очередная сборка ядер std-up, std-smp - 2.4.22-alt11.

Основные изменения:

- Исправлена обработка опций монтирования файловой системы iso9660 -
  как оказалось, опции, написанные после iocharset=..., молча
  игнорировались.

- Исправлена обработки опции pci=noacpi (в предыдущей сборке эта опция
  могла в некоторых случаях не работать).

- Исправлена ошибка в драйверах libata (ata_piix, sata_promise,
  sata_svw, sata_via), которая могла в некоторых случаях приводить к
  нераспознаванию устройств.

- Добавлен модуль iswraid для поддержки Intel Software RAID (ICH5R).
  Пока что этот модуль экспериментальный, но можно начинать пробовать.
  Этот модуль работает с дисками не самостоятельно, а через ata_piix;
  RAID-массив доступен через устройства /dev/ataraid/*, как и для
  других модулей ataraid.

- По просьбе Дмитрия Левина включена защита от исполнения кода в стеке
  (Non-executable user stack area из патча Openwall), а также
  ограничен доступ пользователей к /proc (Restricted /proc из того же
  патча).  Для использования wine теперь придётся применить chstk
  (если это уже не сделано в пакете).

Прошу тестировать.

-- 
Sergey Vlasov

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[sisyphus] [ругательства skip] Re: U: kernel-image-std-{up, smp}-2.4.22-alt11

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 1136 bytes --]

On Sun, Nov 30, 2003 at 12:12:49PM +0300, Sergey Vlasov wrote:
> - По просьбе Дмитрия Левина включена защита от исполнения кода
> в стеке (Non-executable user stack area из патча Openwall), а

Это нормально.

> также ограничен доступ пользователей к /proc (Restricted /proc
> из того же патча).

А вот тут потребуются обоснования.  Сразу скажу, что класть эти
грабли и заносить пользователей в группу proc считаю [skip]
[beep] [BEEP].

Почему?

- обновляющимся (ведь у нас есть и такие, не только
  устанавливающие с нуля) -- подкладывается проблема начиная с
  top и заканчивая монитором сети;

- где планируется управлять группой proc?  Для тех, кто в танке,
  повторю мысль еще раз -- ЕСЛИ НЕТ ГАЕЧНОГО КЛЮЧА, НЕЛЬЗЯ
  ЗАКРУЧИВАТЬ ГАЙКИ.

  Сделаем нормальный конфигуратор групп (с объяснением, что что
  дает и чем опасно) -- будем иметь право на такие выкрутасы.

  Сейчас -- не имеем.

На это мнение можно забить, но не рекомендуется.

PS: Дима, я сегодня чего-то полдня читал cert.org и слегка под
впечатлением.  _И тем не менее_.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] U: kernel-image-std-{up,smp}-2.4.22-alt11

[Roman Savelyev]

В Вск, 30.11.2003, в 12:12, Sergey Vlasov пишет:
> - По просьбе Дмитрия Левина включена защита от исполнения кода в стеке
>   (Non-executable user stack area из патча Openwall), а также
>   ограничен доступ пользователей к /proc (Restricted /proc из того же
>   патча).  Для использования wine теперь придётся применить chstk
>   (если это уже не сделано в пакете).
> 
> Прошу тестировать.
Мнээээ.... Этттааа....
С /proc - сомнительно. Есть программы, ориентированные на чтение
статистики оттуда... Но это не проблема вроде бы. Хоть и чревата
SUIDаньем.

А вот неисполнение в стеке - это нужно тщательно проверять
функционирование IBM DB2 (А зачем ещё Linux-ы нужны, как не для DB2 и
Oracle:) (шютк. Но в каждом шютк...) ) и многого, многого другого.

Кстати, какой оверхед получается при перемешивании стека?

[sisyphus] Re: [d-kernel] [ругательства skip] Re: U: kernel-image-std-{up, smp}-2.4.22-alt11

[Anton Farygin]

Michael Shigorin wrote:
> On Sun, Nov 30, 2003 at 12:12:49PM +0300, Sergey Vlasov wrote:
> 
>>- По просьбе Дмитрия Левина включена защита от исполнения кода
>>в стеке (Non-executable user stack area из патча Openwall), а
> 
> 
> Это нормально.
> 
> 
>>также ограничен доступ пользователей к /proc (Restricted /proc
>>из того же патча).
> 
> 
> А вот тут потребуются обоснования.  Сразу скажу, что класть эти
> грабли и заносить пользователей в группу proc считаю [skip]
> [beep] [BEEP].
> 
> Почему?
> 
> - обновляющимся (ведь у нас есть и такие, не только
>   устанавливающие с нуля) -- подкладывается проблема начиная с
>   top и заканчивая монитором сети;
> 
> - где планируется управлять группой proc?  Для тех, кто в танке,
>   повторю мысль еще раз -- ЕСЛИ НЕТ ГАЕЧНОГО КЛЮЧА, НЕЛЬЗЯ
>   ЗАКРУЧИВАТЬ ГАЙКИ.
> 
>   Сделаем нормальный конфигуратор групп (с объяснением, что что
>   дает и чем опасно) -- будем иметь право на такие выкрутасы.
> 
>   Сейчас -- не имеем.
> 
> На это мнение можно забить, но не рекомендуется.

Мы обсуждали это на #altlinux

Пришли в квыводу, что ldv@ модифицирует useradd, добавив туда 
возможность вносить пользователя в группы по умолчанию.

> 
> PS: Дима, я сегодня чего-то полдня читал cert.org и слегка под
> впечатлением.  _И тем не менее_.

И, тем не менее...

Rgds,
Rider

[sisyphus] Re: U: kernel-image-std-{up,smp}-2.4.22-alt11

[Michael Shigorin]

On Mon, Dec 01, 2003 at 10:34:20AM +0300, Roman Savelyev wrote:
> > - По просьбе Дмитрия Левина включена защита от исполнения кода в стеке
> >   (Non-executable user stack area из патча Openwall), а также
> >   ограничен доступ пользователей к /proc (Restricted /proc из того же
> С /proc - сомнительно. Есть программы, ориентированные на
> чтение статистики оттуда... Но это не проблема вроде бы. Хоть и
> чревата SUIDаньем.

SGID proc'аньем, на самом деле.  Но это не отменяет
справедливости нижепоскипанного.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/