On Thu, Mar 25, 2004 at 02:58:03PM +0200, Andrei Bulava wrote:
> On Thu, 25 Mar 2004, Sergey Vlasov wrote:
> 
> <skip>
> 
> > Видимо, придётся либо убирать CONFIG_HARDEN_SHM, либо добавлять
> > какую-то возможность настройки этого поведения
> > (/proc/sys/kernel/shm_destroy_unused ?)
> >
> 
> No offense or flame, pls. Однако на моей памяти это уже не первая
> попытка сначала закрутить гайки, а потом, когда пользователи
> плачут, колются, но продолжают кушать кактус, искать слесарный
> инструмент :-(((
> 
> У меня тоже зачастую нечем отмахаться от фанатов других
> дистрибутивов в такие щекотливые моменты, ибо моих скромных
> способностей не хватает для обоснованной аргументации против
> фанатизма. Нести в массы ALT Linux на родине BCL - то ещё
> развлечение ;-(
> 
> Предлагаю принять меры по освещению новых затяжек гаек в области
> безопасности, чреватых нарушением работы ПО. Из чтения changelog
> ядра этого не видно :-(
> 
> Или плохо / не туда смотрю?

Последний раз подобные настройки менялись в 2.4.22-alt13 - там была
добавлена проверка флага монтирования noexec при выполнении mmap с
флагом PROT_EXEC, чтобы заблокировать обходной метод запуска
исполняемых файлов с таких файловых систем через прямой вызов
/lib/ld-linux.so.2.  Позднее этот патч вошёл в upstream (в 2.4.25).

Ну а в 2.4.22-alt11 включили защиту от исполнения кода в стеке и
урезали доступ к /proc (средствами патча Openwall).  Всё это
написано в changelog ядра.