* [sisyphus] U: kernel-image-std-{up,smp}-2.4.22-alt11
@ 2003-11-30 9:12 Sergey Vlasov
2003-11-30 17:37 ` [sisyphus] [ругательства skip] Re: U: kernel-image-std-{up, smp}-2.4.22-alt11 Michael Shigorin
2003-12-01 7:34 ` [sisyphus] U: kernel-image-std-{up,smp}-2.4.22-alt11 Roman Savelyev
0 siblings, 2 replies; 5+ messages in thread
From: Sergey Vlasov @ 2003-11-30 9:12 UTC (permalink / raw)
To: sisyphus; +Cc: devel-kernel
[-- Attachment #1: Type: text/plain, Size: 1177 bytes --]
Hello!
В Сизиф выложена очередная сборка ядер std-up, std-smp - 2.4.22-alt11.
Основные изменения:
- Исправлена обработка опций монтирования файловой системы iso9660 -
как оказалось, опции, написанные после iocharset=..., молча
игнорировались.
- Исправлена обработки опции pci=noacpi (в предыдущей сборке эта опция
могла в некоторых случаях не работать).
- Исправлена ошибка в драйверах libata (ata_piix, sata_promise,
sata_svw, sata_via), которая могла в некоторых случаях приводить к
нераспознаванию устройств.
- Добавлен модуль iswraid для поддержки Intel Software RAID (ICH5R).
Пока что этот модуль экспериментальный, но можно начинать пробовать.
Этот модуль работает с дисками не самостоятельно, а через ata_piix;
RAID-массив доступен через устройства /dev/ataraid/*, как и для
других модулей ataraid.
- По просьбе Дмитрия Левина включена защита от исполнения кода в стеке
(Non-executable user stack area из патча Openwall), а также
ограничен доступ пользователей к /proc (Restricted /proc из того же
патча). Для использования wine теперь придётся применить chstk
(если это уже не сделано в пакете).
Прошу тестировать.
--
Sergey Vlasov
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
* [sisyphus] [ругательства skip] Re: U: kernel-image-std-{up, smp}-2.4.22-alt11
2003-11-30 9:12 [sisyphus] U: kernel-image-std-{up,smp}-2.4.22-alt11 Sergey Vlasov
@ 2003-11-30 17:37 ` Michael Shigorin
2003-12-01 11:41 ` [sisyphus] Re: [d-kernel] " Anton Farygin
2003-12-01 7:34 ` [sisyphus] U: kernel-image-std-{up,smp}-2.4.22-alt11 Roman Savelyev
1 sibling, 1 reply; 5+ messages in thread
From: Michael Shigorin @ 2003-11-30 17:37 UTC (permalink / raw)
To: sisyphus, devel-kernel
[-- Attachment #1: Type: text/plain, Size: 1136 bytes --]
On Sun, Nov 30, 2003 at 12:12:49PM +0300, Sergey Vlasov wrote:
> - По просьбе Дмитрия Левина включена защита от исполнения кода
> в стеке (Non-executable user stack area из патча Openwall), а
Это нормально.
> также ограничен доступ пользователей к /proc (Restricted /proc
> из того же патча).
А вот тут потребуются обоснования. Сразу скажу, что класть эти
грабли и заносить пользователей в группу proc считаю [skip]
[beep] [BEEP].
Почему?
- обновляющимся (ведь у нас есть и такие, не только
устанавливающие с нуля) -- подкладывается проблема начиная с
top и заканчивая монитором сети;
- где планируется управлять группой proc? Для тех, кто в танке,
повторю мысль еще раз -- ЕСЛИ НЕТ ГАЕЧНОГО КЛЮЧА, НЕЛЬЗЯ
ЗАКРУЧИВАТЬ ГАЙКИ.
Сделаем нормальный конфигуратор групп (с объяснением, что что
дает и чем опасно) -- будем иметь право на такие выкрутасы.
Сейчас -- не имеем.
На это мнение можно забить, но не рекомендуется.
PS: Дима, я сегодня чего-то полдня читал cert.org и слегка под
впечатлением. _И тем не менее_.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
* [sisyphus] Re: [d-kernel] [ругательства skip] Re: U: kernel-image-std-{up, smp}-2.4.22-alt11
2003-11-30 17:37 ` [sisyphus] [ругательства skip] Re: U: kernel-image-std-{up, smp}-2.4.22-alt11 Michael Shigorin
@ 2003-12-01 11:41 ` Anton Farygin
0 siblings, 0 replies; 5+ messages in thread
From: Anton Farygin @ 2003-12-01 11:41 UTC (permalink / raw)
To: ALT Linux kernel packages development; +Cc: sisyphus
Michael Shigorin wrote:
> On Sun, Nov 30, 2003 at 12:12:49PM +0300, Sergey Vlasov wrote:
>
>>- По просьбе Дмитрия Левина включена защита от исполнения кода
>>в стеке (Non-executable user stack area из патча Openwall), а
>
>
> Это нормально.
>
>
>>также ограничен доступ пользователей к /proc (Restricted /proc
>>из того же патча).
>
>
> А вот тут потребуются обоснования. Сразу скажу, что класть эти
> грабли и заносить пользователей в группу proc считаю [skip]
> [beep] [BEEP].
>
> Почему?
>
> - обновляющимся (ведь у нас есть и такие, не только
> устанавливающие с нуля) -- подкладывается проблема начиная с
> top и заканчивая монитором сети;
>
> - где планируется управлять группой proc? Для тех, кто в танке,
> повторю мысль еще раз -- ЕСЛИ НЕТ ГАЕЧНОГО КЛЮЧА, НЕЛЬЗЯ
> ЗАКРУЧИВАТЬ ГАЙКИ.
>
> Сделаем нормальный конфигуратор групп (с объяснением, что что
> дает и чем опасно) -- будем иметь право на такие выкрутасы.
>
> Сейчас -- не имеем.
>
> На это мнение можно забить, но не рекомендуется.
Мы обсуждали это на #altlinux
Пришли в квыводу, что ldv@ модифицирует useradd, добавив туда
возможность вносить пользователя в группы по умолчанию.
>
> PS: Дима, я сегодня чего-то полдня читал cert.org и слегка под
> впечатлением. _И тем не менее_.
И, тем не менее...
Rgds,
Rider
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] U: kernel-image-std-{up,smp}-2.4.22-alt11
2003-11-30 9:12 [sisyphus] U: kernel-image-std-{up,smp}-2.4.22-alt11 Sergey Vlasov
2003-11-30 17:37 ` [sisyphus] [ругательства skip] Re: U: kernel-image-std-{up, smp}-2.4.22-alt11 Michael Shigorin
@ 2003-12-01 7:34 ` Roman Savelyev
2003-12-07 16:20 ` [sisyphus] " Michael Shigorin
1 sibling, 1 reply; 5+ messages in thread
From: Roman Savelyev @ 2003-12-01 7:34 UTC (permalink / raw)
To: sisyphus
В Вск, 30.11.2003, в 12:12, Sergey Vlasov пишет:
> - По просьбе Дмитрия Левина включена защита от исполнения кода в стеке
> (Non-executable user stack area из патча Openwall), а также
> ограничен доступ пользователей к /proc (Restricted /proc из того же
> патча). Для использования wine теперь придётся применить chstk
> (если это уже не сделано в пакете).
>
> Прошу тестировать.
Мнээээ.... Этттааа....
С /proc - сомнительно. Есть программы, ориентированные на чтение
статистики оттуда... Но это не проблема вроде бы. Хоть и чревата
SUIDаньем.
А вот неисполнение в стеке - это нужно тщательно проверять
функционирование IBM DB2 (А зачем ещё Linux-ы нужны, как не для DB2 и
Oracle:) (шютк. Но в каждом шютк...) ) и многого, многого другого.
Кстати, какой оверхед получается при перемешивании стека?
^ permalink raw reply [flat|nested] 5+ messages in thread
* [sisyphus] Re: U: kernel-image-std-{up,smp}-2.4.22-alt11
2003-12-01 7:34 ` [sisyphus] U: kernel-image-std-{up,smp}-2.4.22-alt11 Roman Savelyev
@ 2003-12-07 16:20 ` Michael Shigorin
0 siblings, 0 replies; 5+ messages in thread
From: Michael Shigorin @ 2003-12-07 16:20 UTC (permalink / raw)
To: sisyphus
On Mon, Dec 01, 2003 at 10:34:20AM +0300, Roman Savelyev wrote:
> > - По просьбе Дмитрия Левина включена защита от исполнения кода в стеке
> > (Non-executable user stack area из патча Openwall), а также
> > ограничен доступ пользователей к /proc (Restricted /proc из того же
> С /proc - сомнительно. Есть программы, ориентированные на
> чтение статистики оттуда... Но это не проблема вроде бы. Хоть и
> чревата SUIDаньем.
SGID proc'аньем, на самом деле. Но это не отменяет
справедливости нижепоскипанного.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2003-12-07 16:20 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-11-30 9:12 [sisyphus] U: kernel-image-std-{up,smp}-2.4.22-alt11 Sergey Vlasov
2003-11-30 17:37 ` [sisyphus] [ругательства skip] Re: U: kernel-image-std-{up, smp}-2.4.22-alt11 Michael Shigorin
2003-12-01 11:41 ` [sisyphus] Re: [d-kernel] " Anton Farygin
2003-12-01 7:34 ` [sisyphus] U: kernel-image-std-{up,smp}-2.4.22-alt11 Roman Savelyev
2003-12-07 16:20 ` [sisyphus] " Michael Shigorin
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git