Obsługa grsecurity przez /proc

[Jan Rekorajski]

[piątek, 10 sierpień 2001], Paweł Sakowski napisał(a):

> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> NotDashEscaped: You need GnuPG to verify this message
> 
> W grsecurity-1.7 będzie możliwość (de)aktywacji niektórych ustawień (np. 
> Trusted Path Execution) poprzez /proc, w podobny sposób jak to się 
> aktualnie dzieje z SysRQ (coś w stylu echo "0" > 
> /proc/sys/kernel/grkernsec/tpe). Pozwoli to na wkompilowanie w 
> jądro dystrybucyjne wszystkich opcji grsec, decyzję o ich 
> stosowaniu pozostawiając użytkownikowi. Zamierzam napisać obsługę tego 
> w rc-scripts, jednak najpierw chciałbym skonsultować pewne założenia:
> 
> - Liczba opcji jest znaczna, więc chyba dobrze byłoby cały kod umieścić w 
> osobnym pliku (rc.grsecurity?) i dołączać tak, jak rc.serial?

Nie ma potrzeby, patrz niżej...

> - Gdzie umieszczać konfigurację grsec? W /etc/sysconfig/system?
> /etc/sysconfig/grsecurity?

/etc/sysctl.conf do tego służy.

> - Czy dopuszczalne jest, żeby jądro wymagało rc-scripts >= x.x.x?
> (uruchamianie jądra z niepoustawianymi opcjami może być mało zabawne)

IMO tak.

> - Czy wypisywać na konsolę ustawianie opcji przez run_cmd? (dużo tego)

Sysctl załatwia sprawe bardzo ładnie, ustawiając tylko to co
rzeczywiście istnieje. Czyli jak wpiszesz tam:
dupa.maryni = 1
to on to po cichu zignoruje.

Janek
-- 
Jan Rękorajski            |  ALL SUSPECTS ARE GUILTY. PERIOD!
baggins<at>mimuw.edu.pl   |  OTHERWISE THEY WOULDN'T BE SUSPECTS, WOULD THEY?
BOFH, MANIAC              |                   -- TROOPS by Kevin Rubio