From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vsu@altlinux.ru>
Date: Thu, 25 Mar 2004 16:12:23 +0300
From: Sergey Vlasov <vsu@altlinux.ru>
To: ALT Linux Sisyphus discussion list <sisyphus@altlinux.ru>
Subject: Re: [JT] =?koi8-r?B?087P18Eg0NLPwszFzdkg?= =?koi8-r?Q?=CF=D4_securit?=
	=?koi8-r?Q?y?= fixes? (WAS: Re: [sisyphus] Shared memory - HELP
	PLEASE!)
Message-ID: <20040325131223.GI1756@master.mivlgu.local>
Mail-Followup-To: ALT Linux Sisyphus discussion list <sisyphus@altlinux.ru>
References: <20040223182241.028ed881.iadzhubey@rics.bwh.harvard.edu>
	<1077624826.3624.5.camel@ildar>
	<20040324171729.08a71738.iadzhubey@rics.bwh.harvard.edu>
	<20040325122240.GF1756@master.mivlgu.local>
	<Pine.LNX.4.58L.0403251432290.9200@devel.office>
Mime-Version: 1.0
Content-Type: multipart/signed; micalg=pgp-sha1;
	protocol="application/pgp-signature"; boundary="CEUtFxTsmBsHRLs3"
Content-Disposition: inline
In-Reply-To: <Pine.LNX.4.58L.0403251432290.9200@devel.office>
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.1.4
Precedence: list
Reply-To: ALT Linux Sisyphus discussion list <sisyphus@altlinux.ru>
List-Id: ALT Linux Sisyphus discussion list <sisyphus.altlinux.ru>
List-Unsubscribe: <http://lists.altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/sisyphus>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Subscribe: <http://lists.altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Thu, 25 Mar 2004 13:12:24 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/20040325131223.GI1756@master.mivlgu.local/>
List-Archive: <http://lore.altlinux.org/sisyphus/>


--CEUtFxTsmBsHRLs3
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

On Thu, Mar 25, 2004 at 02:58:03PM +0200, Andrei Bulava wrote:
> On Thu, 25 Mar 2004, Sergey Vlasov wrote:
> 
> <skip>
> 
> > Видимо, придётся либо убирать CONFIG_HARDEN_SHM, либо добавлять
> > какую-то возможность настройки этого поведения
> > (/proc/sys/kernel/shm_destroy_unused ?)
> >
> 
> No offense or flame, pls. Однако на моей памяти это уже не первая
> попытка сначала закрутить гайки, а потом, когда пользователи
> плачут, колются, но продолжают кушать кактус, искать слесарный
> инструмент :-(((
> 
> У меня тоже зачастую нечем отмахаться от фанатов других
> дистрибутивов в такие щекотливые моменты, ибо моих скромных
> способностей не хватает для обоснованной аргументации против
> фанатизма. Нести в массы ALT Linux на родине BCL - то ещё
> развлечение ;-(
> 
> Предлагаю принять меры по освещению новых затяжек гаек в области
> безопасности, чреватых нарушением работы ПО. Из чтения changelog
> ядра этого не видно :-(
> 
> Или плохо / не туда смотрю?

Последний раз подобные настройки менялись в 2.4.22-alt13 - там была
добавлена проверка флага монтирования noexec при выполнении mmap с
флагом PROT_EXEC, чтобы заблокировать обходной метод запуска
исполняемых файлов с таких файловых систем через прямой вызов
/lib/ld-linux.so.2.  Позднее этот патч вошёл в upstream (в 2.4.25).

Ну а в 2.4.22-alt11 включили защиту от исполнения кода в стеке и
урезали доступ к /proc (средствами патча Openwall).  Всё это
написано в changelog ядра.

--CEUtFxTsmBsHRLs3
Content-Type: application/pgp-signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFAYtq3W82GfkQfsqIRAk3aAJ9HCrFRAhkpcrQ2nktttAyjRWoRNwCfXS+a
M/8yv6ssRSwanSsKea4h/b0=
=5gPg
-----END PGP SIGNATURE-----

--CEUtFxTsmBsHRLs3--