From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mike@fly.osdn.org.ua>
Date: Sun, 30 Nov 2003 19:37:24 +0200
From: Michael Shigorin <mike@osdn.org.ua>
To: sisyphus@altlinux.ru, devel-kernel@altlinux.ru
Message-ID: <20031130173724.GR10424@osdn.org.ua>
Mail-Followup-To: sisyphus@altlinux.ru, devel-kernel@altlinux.ru
References: <20031130091249.GD1762@sirius.home>
Mime-Version: 1.0
Content-Type: multipart/signed; micalg=pgp-sha1;
	protocol="application/pgp-signature"; boundary="WVXhfWX7iGQecmy9"
Content-Disposition: inline
In-Reply-To: <20031130091249.GD1762@sirius.home>
User-Agent: Mutt/1.4.1i
Cc: 
Subject: [sisyphus] =?koi8-r?b?W9LVx8HUxczY09TXwQ==?=
	skip] Re: U: kernel-image-std-{up, smp}-2.4.22-alt11
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.1.3
Precedence: list
Reply-To: sisyphus@altlinux.ru
List-Id: <sisyphus.altlinux.ru>
List-Unsubscribe: <listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Archive: </pipermail/sisyphus>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Subscribe: <listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Sun, 30 Nov 2003 17:37:26 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/20031130173724.GR10424@osdn.org.ua/>
List-Archive: <http://lore.altlinux.org/sisyphus/>


--WVXhfWX7iGQecmy9
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

On Sun, Nov 30, 2003 at 12:12:49PM +0300, Sergey Vlasov wrote:
> - По просьбе Дмитрия Левина включена защита от исполнения кода
> в стеке (Non-executable user stack area из патча Openwall), а

Это нормально.

> также ограничен доступ пользователей к /proc (Restricted /proc
> из того же патча).

А вот тут потребуются обоснования.  Сразу скажу, что класть эти
грабли и заносить пользователей в группу proc считаю [skip]
[beep] [BEEP].

Почему?

- обновляющимся (ведь у нас есть и такие, не только
  устанавливающие с нуля) -- подкладывается проблема начиная с
  top и заканчивая монитором сети;

- где планируется управлять группой proc?  Для тех, кто в танке,
  повторю мысль еще раз -- ЕСЛИ НЕТ ГАЕЧНОГО КЛЮЧА, НЕЛЬЗЯ
  ЗАКРУЧИВАТЬ ГАЙКИ.

  Сделаем нормальный конфигуратор групп (с объяснением, что что
  дает и чем опасно) -- будем иметь право на такие выкрутасы.

  Сейчас -- не имеем.

На это мнение можно забить, но не рекомендуется.

PS: Дима, я сегодня чего-то полдня читал cert.org и слегка под
впечатлением.  _И тем не менее_.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

--WVXhfWX7iGQecmy9
Content-Type: application/pgp-signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)

iD8DBQE/yirUbsPDprYMm3IRAppGAJwP9Zwqnpe9VNbORtA7X7zLIAuBbQCgt27Z
zz+cvd+mlvlk201Y3/l7fgs=
=qguu
-----END PGP SIGNATURE-----

--WVXhfWX7iGQecmy9--