grsec full w 2.6.16 i 2.6.17

[Zbyniu Krzystolik]

Mniej wiecej Mon, Sep 25, 2006 at 04:30:51PM +0200, zainteresowany Paweł Gołaszewski rzekl:
> On Mon, 25 Sep 2006, Zbyniu Krzystolik wrote:
> > > >> Naprawde nie wystarczy tobie i innym potrzebujacym jak 
> > > >> kernel-grsecurity bedzie sobie lezalo jako osobna paczka na ftp?
> > > > Moj blad, ze nie wspomnialem na listach, ze bede chcial trzymac obie 
> > > > wersje na ftp :)
> > > A jest ktoś (poza mną) zainteresowany PaXem ?
> > Ja chętnie, ale jak widzę panikę jaką powoduje samo grsecurity (i to tak 
> > delikatnie ustawione jak domyślnie u nas), to wolę nie wymawiać głośno 
> > słowa PaX.
> 
> Wiesz, prawda jest taka, że na normalnym desktopie grsec jest absolutnie 
> zbędne.

A ja mam osobnego użytkownika dla dostępu do kont bankowych online. I
chcę mieć jego uprawnienia ograniczone znacząco. Wszystko zależy od
oczekiwań.

> Z drugiej też strony chciałbym móc skorzystać z grsec-a na maszynkach, do 
> których niezbyt często zaglądam. Tam także i PaX byłby może mile widziany.

Pytanie jak wiele różnych kombinacji chcemy utrzymywać.

> Ale to są _alternatywy_ i IMO grsec_min, jaki mamy obecnie w kernelu 
> zaaplikowany jest wystarczający dla normalnego desktopa i na defaultowy 
> kernel (można co najwyżej pogadać o dodaniu jakichś drobnych ficzerów do 
> niego...)

Prawdę mówiąc nie mam pojęcia, bo nigdy nigdzie nie miałem takiego :)

> Inna sprawa - czy są jakieś szanse na rzeczy typu restricted-proc w 
> vanilowym kernelu? Czy ktoś wie co na ten temat myśli Linus? Bo sprawa 
> ciągnie się od 2.2 i zapewne była podnoszona na lkml (/me lazy i nie chce 
> mi się szukać góglownicą ;) ).

IMO jest to porażka, że nie ma domyślnie. Ja się nieswojo czuję nawet w
systemie, w którym nie ma losowych PIDów :)

Zbyniu
-- 
%% Absolutely nothing we trust %%