From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <rider@altlinux.com>
Message-ID: <3FCB28F4.6010709@altlinux.com>
Date: Mon, 01 Dec 2003 14:41:40 +0300
From: Anton Farygin <rider@altlinux.com>
Organization: ALT Linux
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.5) Gecko/20031108
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: ALT Linux kernel packages development <devel-kernel@altlinux.ru>
References: <20031130091249.GD1762@sirius.home>
	<20031130173724.GR10424@osdn.org.ua>
In-Reply-To: <20031130173724.GR10424@osdn.org.ua>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Cc: sisyphus@altlinux.ru
Subject: [sisyphus] Re: [d-kernel]
 =?koi8-r?b?W9LVx8HUxczY09TXwSBza2lwXSBSZTogVTog?=
 =?koi8-r?b?a2VybmVsLWltYWdlLXN0ZC17dXAsIHNtcH0tMi40LjIyLWFsdDEx?=
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.1.3
Precedence: list
Reply-To: sisyphus@altlinux.ru
List-Id: <sisyphus.altlinux.ru>
List-Unsubscribe: <listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Archive: </pipermail/sisyphus>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Subscribe: <listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Mon, 01 Dec 2003 11:35:18 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/3FCB28F4.6010709@altlinux.com/>
List-Archive: <http://lore.altlinux.org/sisyphus/>

Michael Shigorin wrote:
> On Sun, Nov 30, 2003 at 12:12:49PM +0300, Sergey Vlasov wrote:
> 
>>- По просьбе Дмитрия Левина включена защита от исполнения кода
>>в стеке (Non-executable user stack area из патча Openwall), а
> 
> 
> Это нормально.
> 
> 
>>также ограничен доступ пользователей к /proc (Restricted /proc
>>из того же патча).
> 
> 
> А вот тут потребуются обоснования.  Сразу скажу, что класть эти
> грабли и заносить пользователей в группу proc считаю [skip]
> [beep] [BEEP].
> 
> Почему?
> 
> - обновляющимся (ведь у нас есть и такие, не только
>   устанавливающие с нуля) -- подкладывается проблема начиная с
>   top и заканчивая монитором сети;
> 
> - где планируется управлять группой proc?  Для тех, кто в танке,
>   повторю мысль еще раз -- ЕСЛИ НЕТ ГАЕЧНОГО КЛЮЧА, НЕЛЬЗЯ
>   ЗАКРУЧИВАТЬ ГАЙКИ.
> 
>   Сделаем нормальный конфигуратор групп (с объяснением, что что
>   дает и чем опасно) -- будем иметь право на такие выкрутасы.
> 
>   Сейчас -- не имеем.
> 
> На это мнение можно забить, но не рекомендуется.

Мы обсуждали это на #altlinux

Пришли в квыводу, что ldv@ модифицирует useradd, добавив туда 
возможность вносить пользователя в группы по умолчанию.

> 
> PS: Дима, я сегодня чего-то полдня читал cert.org и слегка под
> впечатлением.  _И тем не менее_.

И, тем не менее...

Rgds,
Rider