On Fri, 15 Nov 2002, Jakub Ambrożewicz wrote: > On Fri, 15 Nov 2002, Mikołaj Menke wrote: > > > > > A ja kiedys na liscie pisalem, ze mam wszystko na roznych partycjach i > > ktos mi pisal, ze po co, ze to bez sensu. I co? Okazuje sie, ze wcale > > nie. Wystarczy miec /tmp osobno i montowac noexec i po problemie. > Montowanie noexec nic nie daje, jeśli user ma możliwość /lib/ld*.so > Tu niezbędna jest kombnacja alpejska: grsecurity zdaje się pozwala na > określenie ścieżek w których są programy możliwe do uruchomienia, i > użytkowników którym się nie ufa. Dziala to w ten sposob, ze okresleni uzytkownicy (nalezacy do okreslonej grupy) moga uruchamiac wylacznie programy znajdujace wie w katakochach nalezacych do roota bez mozliwosci zapisu dla userow.
> Lids i selinux zapewne też. > Ale co w przypadku, gdy serwer służy programistom? > Wtedy mozna mis problem. Najlepszym wyjsciem jest przypaczowac jajko i miec swiety spokoj, chociaz z tego co wiem to odpowiednio skonfigurowane jajko z openwallem lub grsecurity jest odporne na atak. pozdrawiam -- mirek
