[AC] grsecurity i jajko dystrybucyjne
btower
btower w osiedle.net.pl
Czw, 26 Lut 2004, 16:57:58 CET
Przeglądając config do źródeł jajka 2.4.24.03 zainteresowała mnie jedna z
opcji grscesurity.
Zaznaczam że słabo znam angielski a na grsecurity niewiele się znam.
Zaznaczając.
Executable Protections -->
[*] Trusted path execution
(65500) GID for untrusted users
Nie pozwalamy userowi z określonym GID na wykonywanie własnych programów.
I dobrze.
Ale w helpie do podsekcji : "GID for untrusted users: " czytam że: "If the
sysctl option is enlabed, whatever you choose here won't matter. You'll have
to specify the GID in your bootup script by echoing the GID to the
proper /proc entry"
Opcja sysctl (która też jest oczywiście włączona) pozwala ma zmianę
konfiguracji podczas pracy systemu (umieszczając "0" lub "1"
w /proc/sys/kernel/grsecurity/*), zaleca się w skryptach startowych.
I również dobrze, ale dalej czytam że root nie powinien mieć możliwości
dodawania modułów!! Na końcu napisane: *THIS IS EXTREMALY IMPORTANT*
Nie wiem czy dodawania modułów podczas gdy zablokowaliśmy już możliwość zmiany
w opcjach grsecurity czy wogóle ale:
1. Jak to się ma do modularnej struktury dystrybucyjnych jąder?
2. Czy ktoś używał owej możliwości w dystrybucyjnych jądrach (bo 2.4.20 w RA
też to jest włączone)
Więcej informacji o liście dyskusyjnej pld-users-pl