On Sun, Jan 23, 2011 at 12:44:27AM +0300, Dmitry V. Levin wrote:
> On Sat, Jan 22, 2011 at 08:22:38PM +0200, Victor Forsiuk wrote:
> > У меня, кстати, есть предложение перевести репозитарий на file capabilities.
> 
> Пожалуй что в этом сейчас практически очень мало смысла.
> На эту тему уже доступен некоторый анализ, см. напр.
> http://forums.grsecurity.net/viewtopic.php?f=7&t=2522

И, что тоже немаловажно, большинство пакетов придется пропатчить, чтобы
они правильно сбрасывали эти capabilities.  Например, в том же mtr сейчас
производятся действия вида setuid(getuid()); вряд ли такой вызов приведет
к сбросу capabilities, в результате чего mtr будет работать в более
привилегированном режиме, чем раньше.


-- 
ldv