> Хотеось бы отозвать prot_exec везде - это сделали бы как в pax. Суть в том, что так делать не хотели
> ОСОЗНАННО, и чинить это типчным линуксвеем - НЕ НАДО.А где я утверждал, что делали неосознанно и что чинить надо? В OpenBSD пусть хоть на головах ходят - их право и поприще. Ты настолько неуверен в собственном мнении, что видишь угрозу праву на его существование там, где её нет.
> Ты думаешь, что нюансы, на которые ты пытаешься обратить внимание имеют какое-то значение,
> но напротив, они не принципиальны
Для тебя непринципиальны, а для меня и не только для меня - приципиальны. Причём, уже на самом общем уровне, вроде whitelist vs blacklist. Твоё мнение имеет не больше прав на существование, чем мнения других, представь себе.
> ты предлагаешь уродливый костыль и удивляешься, что никто не в восторге. Это странно. Особенно в свете того
Это очень странно! Особенно в свете того, что я никому ничего не предлагаю и ничему не удивляюсь. :))) В голос просто. Чудесная у тебя каша в голове.
> что ты сам оценил идею с LD_PRELOAD как смешную.
Так ты и существенной разницы между paxctld и рантайм-врапперами не признаёшь?
>>> Суть pledge - сделать удобный api для privilege revocation, а не слепить костыль для принудительного отключения prot_exec.
>> Сколько раз ты ещё намерен это повторить?
> В теории - пока не дойдёт до собеседника.
То есть, ты считаешь, я не понимаю, что такое pledge и какая у него область применения?
> На практике, мне скоро станет лень и я сольюсь.
С твоими ожиданиями тебя ждёт только разочарование. Потому что очевидно, что между непониманием собеседником фактов и его нежеланием принять твою точку зрения ты ставишь знак равенства.
> Нет смысла пытаться задеть меня.
Смысл есть и хорошо виден. :)
>> А я не спрашиваю твоих оценок их решениям. Я тебе указываю на факт, что у сложных механизмов защиты есть свои пользователи, помимо бездумно отключающих SELinux.
> На бесптичье, как говорится, и жопа соловей. Пока нет нормальных инструментов, и selinux сгодится.
Снова скачешь с темы на тему - это ладно, я уже понял, что по-другому просто ещё не умеешь. Примечательно, что ты не знаешь (потому что я не озвучил, да), для решения каких задач упомянутые мной люди пользуются SELinux, но особо ценное мнение о том, что это ненормальный инструмент для решения их и вообще всех задач - у тебя уже есть. :))
> И если бы ты читал то, что я тебе пишу, ты бы увидел, что я не отрицаю того, что решения типа селинукса имеют область применения.
Я это заметил, но ты же это пишешь не в вакууме, а присовокупляешь к рассуждениям, которыми пытаешься доказать другие тезисы. Один из таких тезисов, вон, прям цититой выше: о том, что SELinux не является нормальным инструментом. И я даже сомневаюсь, что ты заметил, как этот тезис выдвинул.
> Только эта область применения не связана с защитой программ от самих себя (от дыр в них)
Связана. В части запрета на использование PROT_EXEC и не только. И в существенной мере пересекается по функциональности с pledge, являясь при этом системой _мандатного_ контроля доступа. И даже позиционируется как таковой теми самыми "серьёзными игроками", на которых ты сам выше и ссылался.
> она про сложные политики доступа к данным и ПО в сложных организациях.
> Почему-то этой простой мысли ты понять никак не можешь, или не хочешь.
Мысль мне понятна, но фактически ошибочна. У SELinux более широкая область применения, и это факт. Ты снова путаешь понимание с принятием и согласием.
>> Ага, и операционку свою напишут. За пару вечеров. Тебе сколько лет, уважаемый? С понятием запретительно высоких издержек знаком?
> Смешно. Зачем так люто передёргивать и сравнивать проверки тривиального (не полноценный
> аудит, да) и написание ОС? Сказать по-существу нечего?
По существу я уже тебе несколько раз сказал. Забавно, что я даже не передёргиваю. Ты не только написал "и всё вообще на свете сделают и проверят", но и фактически ведёшь речь о том, что глобальный запрет на использование PROT_EXEC должен решаться посредством модификации кода каждого компонента. Это очень затратное предприятие - опять же, _в реальности_, а не в твоих фантазиях и перспективах - если посчитать все затраты в сумме. Не согласен - дело твоё.
>>> А _по_умолчанию_ должен быть максимально безопасный вариант, но в пределах допустимого стандартом, если заявлена поддержка оного.
>> Кому должен? Почему должен? Потому что ты так сказал? В OpenBSD могут делать всё, что захотят, в том числе промывать мозги своим доверчевым пользователям. А свои претензии на универсальные критерии можешь употребить по назначению.
> Тот, кто заявляет, что выпускает POSIX-совместимую ОС, тот и должен.
Во-первых, никто тебе ничего не должен. Во-вторых, даже мнение о том, что PAX_MPROTECT является нарушением стандарта - всего лишь мнение. В-третьих, никто не заявляет. Всё это у тебя в голове происходит. И никто давно побуквенно POSIX не следует. И официальная стандартизация никому не нужна, включая OpenBSD. Фактическое следование стандартам в OpenBSD тоже ставится под вопрос, в том числе, когда дело касается безопасности: https://lwn.net/Articles/625506/
> Потому что иначе это ЛОЖЬ. А тот, кто её испускает - ЛЖЕЦ.
Смотри, ты уже на капс перешёл. Обманули тебя? А кто? Покажи пальчиком, где ты лживые заявления прочитал.
>> Ты везде продолбался и продолжаешь. Но поймёшь это нескоро, похоже, если вообще поймёшь.
> Продолжай убеждать себя в этом.
Зачем мне себя убеждать, если ты меня давно убедил и продолжаешь?
> но так мало пишешь по делу..
Это у тебя такое впечатление сложилось. Научись воспринимать прочитанное - оно изменится.
> Один раз ты подловил меня с pledge, но почти всё остальное
> - переливание из пустого в порожнее и неспособность
Всё просто. Твоей "экспертизы" хватило только на то, чтобы заметить, как я тебя "подловил с pledge". Всё остальное для тебя неочевидно и непонятно, даже в разжёванном виде. А кроме того, не соответствует твоей картине мира, вызывает когнитивный диссонанс и эмоциональный отклик, который мешает восприятию и с которым ты пока не научился справляться. Поэтому учись. Учись воспринимать смысл написанного собеседником, понимаеть его рассуждения, сопоставлять их с фактами.
> признать очевидное.
Признать очевидное и согласиться с твоим мнение - разные вещи. Ты не видишь разницы.
> Поэтому и "надрачивание".
Нет. "Надрачивание" - потому что родители недовоспитал и ты принёс это сюда, почувствовав свободку "самовыражения", из какой-то клоаки. С двача какого-нибудь. Оттуда же "моралфажество" и прочие производные подросткового нигилизма. Вот придёшь на работу устраиваться - засунешь подальше себе весь свой нигилизм, прекрасно понимая, чем чревато "говно" и "надрачивать", проскочившее в речи на собеседовании. А тут ты просто ничего не теряешь и в рамках себя не держишь, но предметный разговор тебе, хаму, видите ли, подавай. :))
>>> В целом согласен
>> А это не важно, согласен или нет. Цель анализа в другом. Носом тыкать не стану, всё ты понимаешь прекрасно.
> Честно - не вполне. То ли ты не понимаешь, то ли троллишь.
Да всё ты вполне. Сам же сказал, что продолбался. И продемонстрировал невладение самыми азами, чем раскрыл свой общий низкий уровень компетентности во всех смежных областях, включая имеющие непосредственное отношение к обсуждаемым вопросам. И апломб твой оттуда же, из дремучего невежества. Эффект Даннинга-Крюгера в действии: достаточных (чтобы их учитывать или высказать) сомнений о том, что может быть какой-то другой технический способ, у тебя даже не возникло. А такие сомнения непременно возникают у человека, который, может быть, ни разу и не писал рантайм-врапперы, но неплохо знаком с другими низкоуровневыми аспектами работы программ. Ты, можно сказать, вообще всё этим про себя рассказал. Выложил всю свою подноготную, и не в первый раз уже. Sapienti sat.
> Есть и более грустные варианты, но опускаться до них я не буду.
Уже опустился. Нафантазировал себе в голове всяких удобных мыслей и погрел своё болезненное, ещё взрослеющее самолюбие у их огонька.
>>> хотя и большой проблемы в более позднем отзыве prot_exec не вижу
>> Потому не видишь, что у тебя в голове вместо относительно глубокого и широкого понимания, условно достаточного для обоснованного вынесения суждений по этим вопросам - какой-то отдельный юз-кейс. Типа того же браузера.
> Браузер - это только пример нужного приложения, которое требует нарушения W^X и
> для которого использование pledge и unvel может быть практичнее, чем PaX.
Вот тебе ещё пример самораскрытия. Ты потому не увидел проблемы "в более позднем отзыве prot_exec", что не учёл, например, случаев атаки на setuid-процессы, когда уязвимость может обнаружиться в самом раннем коде, и эксплуатироваться будет локально, для повышения привилегий. И конечно, когда я на это намекнул, а теперь и сказал, тебе это покажется _очевидным в ретроспективе_. И про уязвимости, например, в libc, а не только в Xorg, ты, наверное, что-то слышал и даже читал. Я сейчас напомнил и ты вспомнил, так? И знания, позволяющие тебе сделать более осторожные, нежели озвученные тобой, выводы, у тебя вроде бы тоже есть. Но знать - не значит понимать. Понимать надо уметь, это _навык_. И надо учиться его вырабатывать. А чтобы учиться, надо, в числе прочего, подвергать сомнению и анализу собственные размышления, выдвигать антитезисы и пробовать найти им подтверждение. А что мы видим на деле? Я тебе намекнул, что браузел - лишь один из кейсов, а ты мне снова мычишь в ответ про pledge и unveil, как они могут быть практичнее, чем PaX, и про шансы на эксплуатацию в реальном (!) мире. Что ты знаешь о реальном-то мире, художник перспектив, историк-футуролог? Феерия просто. Вот и подумай, нужно ли мне в чём-то себя убеждать в отношении тебя и твоих особо ценных мнений, на фоне _такого_.
> вспомнить, где дыра чуть ли не в разборе аргументов командной строки
И в коде более ранних стадий бывают уязвимости.
> была, ну т.е. на стадии инициализации), но шансы на эксплуатацию подобного
> в реальном мире невелики.
Очередное самораскрытие. Сначала ты ляпнул, не подумав, что "большой проблемы в более позднем отзыве prot_exec не вижу", а теперь либо оправдываешь этот неверный исходный тезись, либо выдвигаешь независимый, не менее глупый (причём, в обех возможных трактовках: технические шансы на успех или шансы на то, что цель окажется достаточно привлекательная/доступная для атак). Это ты про реальный мир снова рассказываешь человеку, который в своё время не раз проверял production-системы на подверженность подобным уязвимостям и наблюдал плачевный результат. И этот опыт нередок, он есть у всех, практически у всех, кто более-менее уделяет внимание этим вопросам и работает не первый год. И тут какой-то комментатор опеннетный со своей новаторской оценкой вероятности вылезает.
> Обрати внимание, prot_exec по умолчанию не отзываю не лично я, а очень многие люди, не только разработчики OpenBSD.
Апелляцию к авторитетному опыту миллиона мух в очередной раз не принимаю.
> В роли д'артаньяна выступаешь сейчас ты, на белом коне. Жаль только, с высокомерным умничанием, вместо чего-то по существу.
Это тебе только кажется, что я по существу не пишу. Потому что ты не воспринимаешь или отвергаешь мои аргументы, как отверг, например, отсылку к whitelisting'у как лучшей практике. И этим тоже хорошо себя показываешь. На самом же деле я тут бисер мечу, вёдрами.
>> Например, на этапе инициализации запретить использование PROT_EXEC, а после listen() - доступ к файлам.
> Просто если собеседник имел ввиду это, то не понятно, зачем он предлагал
> выносить это во внешний конфиг и настраивать ограничения для каждой процедуры
> отдельно.
Непонятно - спроси! Есть такая возможность: задавать собеседнику вопросы. Представляешь? И снова самораскрытие, снова базовые вещи тебе непонятны.
Вот что я написал: "При желании такой враппер можно даже сделать настраиваемым через конфиг, где описывать набор правил: в момент вызова какой процедуры - какие ограничения включать."
Обрати внимание, что про "для каждой процедуры" - это ты или додумал, или криво-косо сформулировал. В любом случае, в своём репертуаре. Идём дальше. Тебе не понятно, зачем я это предложил. Очевидно, затем, чтобы вместо модификации исходного кода приложений получить возможность последовательного включения ранзых ограничений на разных этапах работы программы. То есть, чтобы добиться практически эквивалетнтого по гибкости использования pledge без модификации и пересборки исходников. Иными слоами, ответ на вопрос "зачем?": ровно за тем же, зачем pledge вставляют в разные места в исходниках. Это сложно для понимания? Достаточно следить за ходом разговора и сопоставить в уме возможности такого враппера с тем, как pledge используется в исходниках.
> У такого подхода могут быть преимущества только в том случае,
> если можно зарезать каждую процедуру до МИНИМАЛЬНО ей нужного.
Преимущества такого подхода в том, что не нужно править исходники. Ты не согласен с тем, что это преимущество, но я чётко и неоднократно озвучил свои предпочтения и требования. Этого достаточно, чтобы хотя бы понять, о чём я говорю, не соглашаясь при этом со мной ни в чём. Но нет: гормоны бурлят, пелена эмоций застилает и разум, и взор.
> А так как это нельзя, нет смысла городить описанное собеседником, достаточно N раз
> сбросить привилегии и всё. Как это и предлагается в pledge.
Ровно это враппер и делал бы: сбрасывал привилегии pledge "N раз", но не на этапе подгрузки библиотеки, а в тех участках кода, где это нужно сделать. Может быть, тебе кажется, что ты троллишь, но со стороны твоё поведение выглядит как непроходимое упорство, переходящее в тупость.
>>>> Использовать LD_PRELOAD - тоже. Хотя бы потому что LD_PRELOAD игнорируется для suid
>>> и sgid бинарников, лепить ещё один костыль для обхода этого - странно.
>> Только переменная среды игнорируется, а содержимое /etc/ld.so.preload - нет. Костыль лепить не нужно. А вот знать, о чём говоришь, или молчать, о чём знаешь мало - не повредило бы.
> Мы про какую ОС? В linux нет pledge, в openbsd нет ld.so.preload.
Ха, действительно, в OpenBSD нет и, похоже, не было ld.so.preload. В любом случае, остаётся как минимум ещё один вариант: b81229ded53de571903ade8c5bbc7ca4099125cf (чтоб не подсказывать).
>> Равный результат существует только у тебя в голове. Как и все якобы существенные трудности в случае с PaX. На практике нет никакого равного результата. С PaX я задаю ограничения для всей ситсемы, сразу, и затем либо ослабляю их для отдельных приложений, либо эти приложения не работают и поверхность атаки не открывают
> Пока только в голове, да. Ну и для небольшого числа приложений. Это так и задумано.
Ты уж определись: или в прерспективе через pledge PROT_EXEC будет выключаться везде, где не нужно, или это так и задумано, что только в небольшом числе приложений.
> Я в кнопки "сделать безопасно", прости, не верю. И PaX mprotect оной не является.
Ну-ну. И теперь, чтобы хоть как-то реабилитироваться в своих глазах, ты приписываешь мне утверждение о том, что PAX_MPROTECT является аналогом кнопки "сделать безопасно".
>> В любом дистрибутиве.
> Ну что ты врёшь, а? Это ж элементарно всё проверяется. Из коробки этого нет нигде. И не было.
Это ты врёшь. Специально вырезал остальную часть моей реплики: "С PaX я задаю ограничения для всей системы, сразу, и затем либо ослабляю их для отдельных приложений, либо эти приложения не работают и поверхность атаки не открывают. В любом дистрибутиве." И делаешь вид, будто "В любом дистрибутиве." является утверждением о наличии в любых дистрибутивах поддержки PaX в том или ином виде. Вижу обрушение стандартов качества "троллинга" с твоей стороны. Решил слиться и уже не стараешься?
> А после того, как код grsec закрыли, и те hardened-вариации дистрибутивов, что были - загнулись.
Те, что ты знал, ты хотел сказать. Чем, по-твоему, занимаются бизнесы, которые оплачивают подписку на grsecurity? Используют его сугубо для внутренних нужд? Предоставляют услуги shared hosting'а? :)) Нет, часть клиентов предлагает специализированные дистрибутивы, о grsecurity в составе которых тебе даже гугль не расскажет.
> И вкорячив grsec-ядро, вот просто так, в обычный дистрибутив, ты получишь нерабочую
> систему. Оттуда все костыли типа paxd и выросли.
Снова самораскрытие. Почти всё будет работать, даже джава. А то немногое, что не будет - и не должно, пока я не выдам права. Дальше на моей системе "специального назначения" будет работать всё нужное мне ПО самого разного назначения, в том числе и такое, вроде Mathematica, которое для "ОС общего назначения" OpenBSD даже не выпускаются. ;)
>> Не может pledge дать сравнимый по качеству результат. Просто потому что в случае PaX ограничения легко снимаются по белому списку, а в случае pledge - выставляются по чёрному списку.
> Естественно, pledge ещё "не дорос" до того, чтобы ломать приложения ради "безопасности".
> В реальном мире, а не в фантазиях секурити-гиков, вахтёрство и прочее
> "не пущщать" работает не очень. А 3.5 пользователей hardened gentoo, при
> всём уважении, никому особенно не интересны. Да и нет их больше,
> как и опенсорсного grsec.
Ну, тут и далее очевидный "троллинг", ты не старался. Я тоже не стану, уже отвечал. Сливаешься?
>> С совершенно несопоставимыми трудозатратами. Это факты.
> Конечно. Ведь в случае pledge работу нужно выполнить 1-2 раза и разработчику/мэйнтейнеру.
> А потом больше никогда.
Работу нужно выполнить в первую пользователю, который непосредственно работает с системой и хочет включить ограничения, аналогичные MPROTECT, _для каждого пакета_ с бинарными экзешниками. А потом ему же, пользователю, нужно проконтролировать, что каждый пакет и каждая новая его версия была собрана именно с pledge, а не без него, потому что разработчик ошибся/забыл/откатил/не протестировал на OpenBSD/отказался добавлять его поддержку. ;) Либо не контролировать и тем самым автоматически установить отношения доверия по вопросу поддержки pledge с _каждым_ разработчиком/меинтейнером.
А кроме того, мой юный сливающийся друг, есть приложения, для которых PROT_EXEC через pledge в лучшем случае сделают опциональным (и придётся настраивать руками), в худшем - вообще не включат:
- Интерпретаторы с JIT и трамплинами на стеке для нишевых применений (FFI), которые тем не менее _могут_ работать без PROT_EXEC (иногда с падением производительности): Python, Java, Ruby
- Xorg (LLVM JIT), ClamAV
- Браузеры и аналоги, JS-движки, которые позволяют отключить JIT в настройках, а не на этапе сборки, как когда-то было с Firefox/Thunderbird
И получится, что запрет PROT_EXEC через pledge тоже нужно настраивать, но через аргументы командной строки, конфиги (множество разных) или переменные окружения. А кроме того, в OpenBSD нет ограниченной поддержки выполнения кода трамплинов на стеке, а ля PAX_EMUTRAMP, и для тех же интерпретаторов с FFI придётся отключать запрет на PROT_EXEC целиком. ;)
> Куда лучше накладывать PaX-патчи (где бы теперь взять их ещё?)
У меня есть. Тебе - нигде.
> собирать своё ядро
Это делается не ради MPROTECT. Я собираю ядра для каждой машины или группы мышин, как минимум ради RANDSTRUCT.
> расставлять pax-флаги и поддерживать всё это в актуальном состоянии. Это факты.
Да, это факты. И они полностью согласуются с моими выводами и фактами, а также критериями и требованиями. И противоречат твоим выводам, а также фактам, которые ты предпочитаешь не замечать (см. выше о бремени пользователя).
>> ставишь ли ты выше требований безопасности априорную поддержку устаревших стандартов или нет - сугубо твоё личное дело.
> Не знаю, кто дал тебе право называть общеиспользуемые стандарты устаревшими, но пока
Если в стандарте написано, что PROT_EXEC должен поддерживаться априорно и без исключений, то такой стандарт устарел по факту: PaX, SELinux, некоторые LSM-модули его уже нарушают. Но на деле речь не более, чем о твоей и разработчиков OpenBSD вольной трактовке стандарта, в которой ставится знак равенства между поддержкой и безусловной поддержкой.
> есть нужные приложения, которые их используют соблюдать их надо.
Для этих приложений стандарт соблюдается через выставление флагов.
> Нарушать стандарты можно и просто так, но тогда нужно не врать, про то, что всё будет работать
Толсто, убого.
> а кричать на каждом углу
Кричал ты на переменах пару лет назад (хорошо, если не в прошлую пятницу). А в документации всё написано.
> что будет сломано то-то и то-то, чинить такими-то костылями.
Как раз об этом.
> А не рассказывать про "гарантии безопасности", которых нет, как и совместимости с posix.
Во-первых, тебе никто или как минимум лично я ни о каких гарантиях не рассказывал. Во-вторых, в крайнем случае речь может идти о конкретных гарантиях, в заданных рамках ограничений, условий и модели угроз.
> Но да, если проект не ставит цель поддерживать стандарты, глупо ему за это предъявлять.
Так ты определись уже. То тебя, бедненького, обманывают все вокруг, про гарантии рассказывают... То вдруг оказывается, что проект не ставит цель поддерживать стандарты (так, как ты этого хочешь). OpenBSD тоже такой цели не ставит, но ты же ей пользуешься. Дальше что? Где они об этом кричат, покажи.
>> Не там, а практически везде. ...... Это даже не смешно. Это убого.
> Честно - мне без разницы. Ты думаешь, что убого не знать, что
> paxctld по умолчанию, а не paxd, а я думаю, что само
> наличие такого демона - это убого.
Я написал, что именно убого. Ты специально потёр всю смысловую часть в моей реплике, чтобы увильнуть от отвественности за свои слова.
> Твои предположения о моём опыте использования grsecurity и моих знаниях о нём
> не тоже не интересны.
Эти предположения основаны на фактах, на которые тебе нечего возразить. Пока я отдыхал на выходных, ты умудрился ляпнуть о том, при срабатывании запрета PAX_MPROTECT процесс убивается, а это не так. И вот это - твой уровень. Мне даже интересно, можно ли ещё ниже сдвинуть планку компетентности, чтобы ты смог хотя бы ей соответствовать...
> Мне приходилось связываться с grsecurity
О, да! К счастью! И ты уже раскрылся, мне даже вытягивать из тебя ничего не пришлось. :)
> и так вышло, что с paxd, и речь не только об втором десктопе
> на арче, на котором у меня N лет было grsec ядро, пока можно было.
Ага. Речь ещё о каком-то хостинге, тоже на арче. :))
> Так что право на мнение я имею.
Право на мнение ты имеешь априори, я тебе в нём не отказывал и не собираюсь.
> А твои постоянные попытки уличить меня во всяком куда больше говорят о тебе, чем обо мне.
Нееет, вот как раз-таки мои попытки уличить тебя во всяком заканчиваются успешно и говорят именно о тебе. А обо мне - лишь постольку, поскольку я считаю возможным неплодотворно тратить здесь своё время.
> Если тебе интересно, никаких проблем у меня с grsec в проде не было.
Это я уже слышал.
> Мне казалось, что мы сравниваем подходы
Ты даже не представляешь, сколько ещё всего тебе казалось и продолжает казаться. :))
> а ты мне продолжаешь рассказывать про неимоверную сложность pledge-патчей
Нет. Про суммарные накладные расходы на внедрение этих патчей, которые в реальном мире, а не твоих фантазиях, несёт пользователь.
> и неимоверную простоту и идеологическую верность pax-флагов.
Про и практичность и удовлетворение требованиям.
> Это не смешно, и даже не убого, это просто феерически тупо.
Прям фраза, которая резюмирует и свой контекст, и саму себя!
>> Воспитание твоё - сорт говна.
> Это не новость.
Ну ещё бы.
> Найди, пожалуйста, технический аргумент
Массу аргументов нашёл и привёл. Учись читать.
> типа как про pledge в тот раз, или просто конструктив, как про paxctld. Воззвания к моей совести бессмысленны.
Я не взываю к совести, а топчу твои претензии, указывю тебе твоё место, которое ты _сам_ себе выбрал.
>> Не отвертишься теперь.
> Даже пытаться не буду.
Так ведь и не получится.
> Мне признавать свою неправоту легко и приятно.
Это тебе так кажется. Потому что в вопросах, в которых ты неправ, но неадекватен, ты даже смысл прочитанного воспринимать не в состоянии.
> Ну вот у меня был опыт связанный с paxd, так уж сложилось,
> и да, мне никогда сильно не было интересно, какие костыли идеологически
> верно лепить вместо него. Отвратителен сам подход.
Видишь, тебе _отвратителен_ сам подход. Какие ты от меня технические аргументы в ответ на отвращение хочешь услышать-то? :)) Тут может быть только один "аргумент": не нравится - не пользуйся.
>> Всё происходило в Hardened Gentoo, где флаги выставляются пакетным менеджером, представь себе.
> Ок, буду знать. Вау, кто-то сделал нормально, а не через Ж. Жаль,
> что hardened gentoo, ЕМНИП, не вполне самостоятельный дистрибутив.
Ой, да брось. Не жаль тебе, а удобно, что ну хоть под предлогом не-вполне-самостоятельности дистрибутива его роль в контексте обсуждения можно попытаться свести на нет.
> Ну и жаль, что лично меня от gentoo тошнит, но к спору это уж точно отношения не имеет.
Почему? Чем "аргумент" "тошнит от gentoo" принципиально отличается от "аргумента" "отвратителен сам подход"?
>> Ага, надо, потому что ты, анонимный не-эксперт, сказал. Который не читал, но осуждает. И да будет тебе известно, рассуждальщик, что аналог "пакетов с xattrs" - это прошлое PaX. Когда-то флаги выставлялись через ELF-заголовки
> А я знаю про это, про ELF-заголовки. Зачем ты опять гадаешь?
Я не гадаю, а делаю вывод из твоих рассуждений. И как оказалось, лестный для тебя: потому что наличие у тебя каких-либо знаний к пониманию не приводит. Связывать одно с другим не умеешь.
