On Wed, Feb 02, 2005 at 10:09:03PM +0200, Michael Shigorin wrote:
> On Wed, Feb 02, 2005 at 10:31:11PM +0300, Anton Farygin wrote:
> > >>Именно доступ обычного пользователя в /lib/modules/ и надо исправлять.
> > >Кстати, а с /boot что-то делать (в идеале control(8), но Дима
> > >упоминал грабли) получается?  А то для простых консультаций
> > >требуется отнюдь не the least privilege...
> > А ты багу повесь, обсудим.
> 
> А в ту же осмысленно?  Подумал и решил сперва сюда, бо уже не
> помню, что именно мешало control-изации (склерозм -- штука
> страшная, что /обсуждалось/ -- помнишь, а вот /как/...).

Мешало control-изации то, что называется проблемой "яйцо или курица":
у пакета filesystem не должно быть %pre-скрипта, но для control-изации
нужен %pre-скрипт.

> > Зачем это делал Дима в свое время, я думаю и уже он не помнит
> > ;-)
> 
> Я так не думаю (c)

1. Доступ к файлам /boot/{System.map,vmlinuz}-`uname -r` даёт возможность
узнать адреса объектов ядра, что облегчает атаку на ядро.

2. Конфигурация grub'а хранится в /boot, и я помню, что раньше были
проблемы в поддержании правильных прав доступа к ней.


-- 
ldv