>> Это каких, например?
> Там при переполнении проблематично скормить какие-то осмысленные аргументы вызываемой
> функции когда возврат делается. ARMовское ABI предполагает в общем случае передачу
> параметров в регистрах а не стекеOk, спасибо. Я гляну на досуге, что там и как. С АРМ-ами дел не имею обычно.
>>> попало фигачить ptrace() вообще без ограничениий?
>> Нет. В NetBSD с помощью kauth(9) ptrace можно вообще запретить.
> В большинстве культурных дистров линя нынче трассирование
> процессов юзерем по дефолту вообще
> откушено
Культурные дистры -- это какие? В Debian и RHEL я этого не наблюдаю.
>> Кроме того, по умолчанию запрещено трейсить процессы из chroot-а,
>> даже от root-а. Плюс есть ограничения при разных security levels.
> Если вы хотели этим попонтоваться
Нет. Попонтоваться -- это не ко мне. Я говорю о том, что кое-что сделано
в этом плане и в BSD тоже. Диалог должен быть познавательным для обеих сторон.
За писькомером не ко мне. И да, я в курсе и про lxc и про cgroups и про openvz.
>> http://netbsd.gw.com/cgi-bin/man-cgi?security++NetBSD-current
>> http://wiki.netbsd.org/kernel_secure_levels/
> Ну ок, я должен признать что наезжать на вообще всех бсдшников за
> пофигизм в секурити - не очень правильно, некоторые все-таки не такие
> уж и пофигисты в вопросе.
Прекрасно. Культурный диалог состоялся.
> Тем не менее, я не вижу
> что из перечисленного было лучше чем в пингвине, откуда сделаны масштабные
> выводы о бОльшей защищенности.
Я не утверждал, что в *BSD что-то лучше или хуже или лучше, чем в Линупсе.
Это твои фантазии ;-) Я лишь указал на документацию.
> Поэтому от наиболее очевидных типовых напастей они защитились вполне на уровне.
Я думаю, лучший в отрасли -- grsecurity, откуда собственно
многое в NetBSD и пришло. Но grsecurity в мире Линукса -- такая
же маргинальщина, как NetBSD для типичного Линукс-админа.
AFAIK его нет нигде кроме одного профиля Gentoo.
