grsec full w 2.6.16 i 2.6.17

[Zbyniu Krzystolik]

Mniej wiecej Mon, Sep 25, 2006 at 08:38:35PM +0200, zainteresowany Paweł Gołaszewski rzekl:
> On Mon, 25 Sep 2006, Zbyniu Krzystolik wrote:
> > > > Ja chętnie, ale jak widzę panikę jaką powoduje samo grsecurity (i to 
> > > > tak delikatnie ustawione jak domyślnie u nas), to wolę nie wymawiać 
> > > > głośno słowa PaX.
> > > Wiesz, prawda jest taka, że na normalnym desktopie grsec jest 
> > > absolutnie zbędne.
> > A ja mam osobnego użytkownika dla dostępu do kont bankowych online.
> 
> Wiesz, są różne zboczenia. Większość skutecznie się leczy ;)
> 
> > > Z drugiej też strony chciałbym móc skorzystać z grsec-a na maszynkach, 
> > > do których niezbyt często zaglądam. Tam także i PaX byłby może mile 
> > > widziany.
> > Pytanie jak wiele różnych kombinacji chcemy utrzymywać.
> 
> Kombinacji?
> kernel
> kernel-grsec	(czyli grsec+pax)
> 
> To dużo?

A nie wiem, może ktoś będzie chciał grsec bez paksa...
Albo kernel-desktop.spec, czy wersję laptopową; no i pakiety
okołokernelowe. A, no i xeny jeszcze :)

> > > Inna sprawa - czy są jakieś szanse na rzeczy typu restricted-proc w 
> > > vanilowym kernelu? Czy ktoś wie co na ten temat myśli Linus? Bo sprawa 
> > > ciągnie się od 2.2 i zapewne była podnoszona na lkml (/me lazy i nie 
> > > chce mi się szukać góglownicą ;) ).
> > IMO jest to porażka, że nie ma domyślnie. Ja się nieswojo czuję nawet w 
> > systemie, w którym nie ma losowych PIDów :)
> 
> A co _realnie_ dają ci losowe PID-y, poza baładanem i narzutem (tak na 
> wyczucie) przy tworzeniu numerka?

Było kilka exploitów, które bazowały na tym, że PIDy są kolejno.

Może po prostu trzeba zrobić różne kernele i zobaczyć jak się przyjmie
to.

Zbyniu
-- 
%% Absolutely nothing we trust %%