Включение в состав Linux ядра DRM (Direct Rendering Manager) модулей для видеокарт Intel и ATI (для NVIDIA разработка проекта Nouveau пока не принята в ядро) и реализация на уровне ядра механизма переключения видеорежимов (KMS) и управления памятью GPU (GEM или TTM), открывает возможность (http://www.phoronix.com/scan.php?page=news_item&px=NzM2MA) полного избавления X-сервера от необходимости выполнения частей кода в режиме суперпользователя. Избавление от требующего root-привелегий кода позволит существенно повысить безопасность системы.
Jesse Barnes, один из разрабочиков компании Intel выставил на обсуждение (http://lists.x.org/archives/xorg-devel/2009-July/001293.html) в списке рассылки x.org, несколько небольших патчей для кода X-сервера и одно тривиальное исправление для кода DRM модуля ядра, предназначенных для полного избавления X-сервера от привилегированного кода. Дополнительно сообщается, что X-сервер, используемый в проекте Moblin (http://www.opennet.me/opennews/art.shtml?num=21808), будет работать исключительно с правами обычного непривилегированного пользователя.URL: http://www.phoronix.com/scan.php?page=news_item&px=NzM2MA
Новость: http://www.opennet.me/opennews/art.shtml?num=22425
Не прошло и двадцати лет, как люди научились программировать?-)
Лучше поздно, чем никогда! :)
>Не прошло и двадцати лет, как люди научились программировать?-)Ну, Кнут тоже не сразу свои книжки написал)
Даешь с седьмом офтопике GDI.EXE работающий от пользователя!
Не радуйтесь, еще далеко не все за двадцать лет научились грамотно программировать =)
>Даешь с седьмом офтопике GDI.EXE работающий от пользователя!Не бойтесь, вас оно не спасет.Благо еще есть такая штука как win32k.sys - "всего" пара метров кернельного кода, выносок от GDI прямо в ядре... ;).Кто не помнит кульные анимированные курсорчики которые заодно выполняли ядрены код? :)
Как обычно через пару дней выйдет новость:
Canonical объявила, что в Ubuntu 10.04 X-сервер будет запускаться с правами непривилегированного пользователя.
>Как обычно через пару дней выйдет новость: Canonical объявила, что в Ubuntu 10.04 X-сервер будет запускаться с правами непривилегированного пользователя.Так это хорошо!
Вообще об этой новости говорили уже давно, и каноникал заявляли что собираются использовать некоторые фичи ака "гладкое" переключение графического режима иксов (без миганий) при старте системы и т.п.
В федоре на правильном железе ужу работает.
честно, рад за федору и вообще за опенсорц :)
Хорошо. Одни осилили - остальные подтянутся.
чего хорошего то в том что каноникал только говорить может, а код ваяют разрабы интела
Насколько я понимаю, KMS касается только линукса? А что делать прочим юниксам, для которых X.Org тоже по дефолту? С переносимостью что, а?
>Насколько я понимаю, KMS касается только линукса? А что делать прочим юниксам,
>для которых X.Org тоже по дефолту? С переносимостью что, а?AFAIK, NetBSD и OpenBSD тоже практически готовы.
А мне кажется, что в системе либо вообще не должно быть процессов от имени рута, либо их должно быть по минимуму.
Так будет ещё безопаснее))) на каждого демона своего юзера, ну или на всех один,тогда навредить системе будет вообще сложно.
>Так будет ещё безопаснее)))Если уж паранойя долбит - можно например распихать все демоны по своим контейнерам (например, OpenVZ).Параноидально, эффективно по обкусыванию возможностей атацкеров (ни модуль в ядро не загрузить, ни соседям не поднасрать, ни даже их ресурсы толком не выжрать) и до кучи так можно легко мониторить левую активность (понавешав ловушек, часть из которых может быть невидимыми для хаксора на хост-системе) и даже можно например тушить поломаное окружение автоматом, etc :).А если на скорость похрен - можно в порядке глума пнуть армовский бинарь под qemu.Готов поспорить - хакер сломает мозг пытаясь хотя-бы понять - а куда же он собственно попал?!
Еще бы сделали нормальный терминал...
Главное что бы он после этого не стал медленнее, чем сейчас
>Главное что бы он после этого не стал медленнее, чем сейчасон становится только лучше, например, перестал течь, заделали кучу багов, стал быстрее начиная с 1.5.x
>>Главное что бы он после этого не стал медленнее, чем сейчас
>
>он становится только лучше, например, перестал течь, заделали кучу багов, стал быстрее
>начиная с 1.5.x... поломали multihead, изобретают и всё не могут внедрить уже который libpciaccess, разработчики ОС ломают головы над сопряжением раздробленных модулей (этот уже переехал на новый XInput, а этот нет, но при этом второй без первого не нужен), уже который релиз откладывают MPX...
Ага, из-на нерабочих -novtswitch -sharevts я до сих пор сижу на 7й федоре
А какая последняя версия X в которой -novtswitch -sharevts нормально работают?
>... поломали multihead, изобретают и всё не могут внедрить уже который libpciaccessчто за libpciaccess, а то ничего толкового не нагуглилось... да и монитор у меня один.
>>... поломали multihead, изобретают и всё не могут внедрить уже который libpciaccess
>
>что за libpciaccess, а то ничего толкового не нагуглилось... да и монитор
>у меня один.Плохо гуглил. :)
Именно. А рута переживали раньше, и дальше можно пережить... Вообще, чем бальше, тем больше я поглядываю на модильные плтформы для установки на десктоп - там поменьше уровней абстракции, и вообще не так прожорливы они...
Сначала SELinux, потом AppArmor и PoliciKit, теперь иксы ещё. Мде, скоро будем чувсвовать себя как в тан..опенбзд =)
Не беспокойтесь. Линуксу это не грозит.
Ну а что root сильно вредит? Поставьте нужные права на /dev/sda и попробуйте записать туда какой-нибудь мусор от имени простого пользователя. Чем не rm -rf / ?
>Ну а что root сильно вредит? Поставьте нужные права на /dev/sda и
>попробуйте записать туда какой-нибудь мусор от имени простого пользователя. Чем не
>rm -rf / ?Так это нужно быть рутом, чтобы поставить права.
А рут может послать мусор в любой файл с любыми правами)
неправда ваша, дяденька Биденко! (с) Сын полка
при правах 0100 даже руту будет "пермишн отбой" .... другой вопрос, что рут может ПОМЕНЯТЬ права любому файлу :)
А ты проверь, а потом говори!
>неправда ваша, дяденька Биденко! (с) Сын полка
>при правах 0100 даже руту будет "пермишн отбой" .... другой вопрос, что
>рут может ПОМЕНЯТЬ права любому файлу :)# id
uid=0(root) gid=0(root) groups=0(root)
# touch test.txt
# ls -la test.txt
-rw-r--r-- 1 root root 0 2009-07-04 07:20 test.txt
# chmod 0100 test.txt
# ls -la test.txt
---x------ 1 root root 0 2009-07-04 07:20 test.txt
# echo "write test" >> test.txt
# ls -la test.txt
---x------ 1 root root 11 2009-07-04 07:21 test.txt
# cat test.txt
write testНасколько я знаю, пользователь с id 0 игнорирует ограничения для файлов на читать/писать, указанные с помощью chmod.
Работает только ограничение на выполнение.
Для папок ограничений нет, хоть 000 ставить.
Поправьте, если не так.
>Ну а что root сильно вредит?В случае эксплойта то?Очень даже...
>Поставьте нужные права на /dev/sda
Простите, для этого рут должен заранее об этом позаботиться.Да, админ может стрелять себе в пятки - на то и админ.
>попробуйте записать туда какой-нибудь мусор от имени простого пользователя. Чем не
>rm -rf / ?А если раздать на все файлы нужные права - то и не-админ сможет rm -rf /
Вот только для этого надо всего-то ничего, чтобы руту приспичило раздать либеральные права... ;)