From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Thu, 25 Mar 2004 16:12:23 +0300 From: Sergey Vlasov To: ALT Linux Sisyphus discussion list Subject: Re: [JT] =?koi8-r?B?087P18Eg0NLPwszFzdkg?= =?koi8-r?Q?=CF=D4_securit?= =?koi8-r?Q?y?= fixes? (WAS: Re: [sisyphus] Shared memory - HELP PLEASE!) Message-ID: <20040325131223.GI1756@master.mivlgu.local> Mail-Followup-To: ALT Linux Sisyphus discussion list References: <20040223182241.028ed881.iadzhubey@rics.bwh.harvard.edu> <1077624826.3624.5.camel@ildar> <20040324171729.08a71738.iadzhubey@rics.bwh.harvard.edu> <20040325122240.GF1756@master.mivlgu.local> Mime-Version: 1.0 Content-Type: multipart/signed; micalg=pgp-sha1; protocol="application/pgp-signature"; boundary="CEUtFxTsmBsHRLs3" Content-Disposition: inline In-Reply-To: X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.1.4 Precedence: list Reply-To: ALT Linux Sisyphus discussion list List-Id: ALT Linux Sisyphus discussion list List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 25 Mar 2004 13:12:24 -0000 Archived-At: List-Archive: --CEUtFxTsmBsHRLs3 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit On Thu, Mar 25, 2004 at 02:58:03PM +0200, Andrei Bulava wrote: > On Thu, 25 Mar 2004, Sergey Vlasov wrote: > > > > > Видимо, придётся либо убирать CONFIG_HARDEN_SHM, либо добавлять > > какую-то возможность настройки этого поведения > > (/proc/sys/kernel/shm_destroy_unused ?) > > > > No offense or flame, pls. Однако на моей памяти это уже не первая > попытка сначала закрутить гайки, а потом, когда пользователи > плачут, колются, но продолжают кушать кактус, искать слесарный > инструмент :-((( > > У меня тоже зачастую нечем отмахаться от фанатов других > дистрибутивов в такие щекотливые моменты, ибо моих скромных > способностей не хватает для обоснованной аргументации против > фанатизма. Нести в массы ALT Linux на родине BCL - то ещё > развлечение ;-( > > Предлагаю принять меры по освещению новых затяжек гаек в области > безопасности, чреватых нарушением работы ПО. Из чтения changelog > ядра этого не видно :-( > > Или плохо / не туда смотрю? Последний раз подобные настройки менялись в 2.4.22-alt13 - там была добавлена проверка флага монтирования noexec при выполнении mmap с флагом PROT_EXEC, чтобы заблокировать обходной метод запуска исполняемых файлов с таких файловых систем через прямой вызов /lib/ld-linux.so.2. Позднее этот патч вошёл в upstream (в 2.4.25). Ну а в 2.4.22-alt11 включили защиту от исполнения кода в стеке и урезали доступ к /proc (средствами патча Openwall). Всё это написано в changelog ядра. --CEUtFxTsmBsHRLs3 Content-Type: application/pgp-signature Content-Disposition: inline -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFAYtq3W82GfkQfsqIRAk3aAJ9HCrFRAhkpcrQ2nktttAyjRWoRNwCfXS+a M/8yv6ssRSwanSsKea4h/b0= =5gPg -----END PGP SIGNATURE----- --CEUtFxTsmBsHRLs3--