The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"X-сервер скоро будет избавлен от кода, работающего с правами..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"X-сервер скоро будет избавлен от кода, работающего с правами..."  +1 +/
Сообщение от opennews on 02-Июл-09, 12:38 
Включение в состав Linux ядра DRM (Direct Rendering Manager) модулей для видеокарт Intel и ATI (для NVIDIA разработка проекта Nouveau пока не принята в ядро) и реализация на уровне ядра механизма переключения видеорежимов (KMS) и управления памятью GPU (GEM или TTM), открывает возможность (http://www.phoronix.com/scan.php?page=news_item&px=NzM2MA) полного избавления X-сервера от необходимости выполнения частей кода в режиме суперпользователя. Избавление от требующего root-привелегий кода позволит существенно повысить безопасность системы.


Jesse Barnes, один из разрабочиков компании Intel выставил на обсуждение (http://lists.x.org/archives/xorg-devel/2009-July/001293.html) в списке рассылки x.org, несколько небольших патчей для кода X-сервера и одно тривиальное исправление для кода DRM модуля ядра, предназначенных для полного избавления X-сервера от привилегированного кода. Дополнительно сообщается, что X-сервер, используемый в проекте Moblin (http://www.opennet.me/opennews/art.shtml?num=21808), будет работать исключительно с правами обычного непривилегированного пользователя.

URL: http://www.phoronix.com/scan.php?page=news_item&px=NzM2MA
Новость: http://www.opennet.me/opennews/art.shtml?num=22425

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "X-сервер скоро будет избавлен от кода, работающего с правами..."  –4 +/
Сообщение от Andrew Kolchoogin on 02-Июл-09, 12:38 
Не прошло и двадцати лет, как люди научились программировать?-)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +2 +/
Сообщение от Frank email(??) on 02-Июл-09, 12:44 
Лучше поздно, чем никогда! :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +4 +/
Сообщение от XoRe (ok) on 02-Июл-09, 13:03 
>Не прошло и двадцати лет, как люди научились программировать?-)

Ну, Кнут тоже не сразу свои книжки написал)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +5 +/
Сообщение от MinimumLaw email on 02-Июл-09, 12:59 
Даешь с седьмом офтопике GDI.EXE работающий от пользователя!
Не радуйтесь, еще далеко не все за двадцать лет научились грамотно программировать =)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +/
Сообщение от User294 (??) on 03-Июл-09, 04:11 
>Даешь с седьмом офтопике GDI.EXE работающий от пользователя!

Не бойтесь, вас оно не спасет.Благо еще есть такая штука как win32k.sys - "всего" пара метров кернельного кода, выносок от GDI прямо в ядре... ;).Кто не помнит кульные анимированные курсорчики которые заодно выполняли ядрены код? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +/
Сообщение от pin (??) on 02-Июл-09, 13:20 
Как обычно через пару дней выйдет новость:
Canonical объявила, что в Ubuntu 10.04 X-сервер будет запускаться с правами непривилегированного пользователя.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +3 +/
Сообщение от koblin (ok) on 02-Июл-09, 13:56 
>Как обычно через пару дней выйдет новость: Canonical объявила, что в Ubuntu 10.04 X-сервер будет запускаться с правами непривилегированного пользователя.

Так это хорошо!
Вообще об этой новости говорили уже давно, и каноникал заявляли что собираются использовать некоторые фичи ака "гладкое" переключение графического режима иксов (без миганий) при старте системы и т.п.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +2 +/
Сообщение от RedChrom on 02-Июл-09, 19:57 
В федоре на правильном железе ужу работает.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +2 +/
Сообщение от koblin (ok) on 02-Июл-09, 23:08 
честно, рад за федору и вообще за опенсорц :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +2 +/
Сообщение от Hettikus (??) on 02-Июл-09, 23:23 
Хорошо. Одни осилили - остальные подтянутся.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "X-сервер скоро будет избавлен от кода, работающего с правами..."  –1 +/
Сообщение от cobain (??) on 03-Июл-09, 16:00 
чего хорошего то в том что каноникал только говорить может, а код ваяют разрабы интела
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "X-сервер скоро будет избавлен от кода, работающего с правами..."  –1 +/
Сообщение от Аноним (??) on 02-Июл-09, 13:40 
Насколько я понимаю, KMS касается только линукса? А что делать прочим юниксам, для которых X.Org тоже по дефолту? С переносимостью что, а?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "X-сервер скоро будет избавлен от кода, работающего с правами..."  –2 +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 02-Июл-09, 13:41 
>Насколько я понимаю, KMS касается только линукса? А что делать прочим юниксам,
>для которых X.Org тоже по дефолту? С переносимостью что, а?

AFAIK, NetBSD и OpenBSD тоже практически готовы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +/
Сообщение от ksof email on 02-Июл-09, 15:41 
А мне кажется, что  в системе либо вообще не должно быть процессов от имени рута, либо их должно быть по минимуму.
Так будет ещё безопаснее))) на каждого демона своего юзера, ну или на всех один,тогда навредить системе будет вообще сложно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +3 +/
Сообщение от User294 (??) on 03-Июл-09, 04:18 
>Так будет ещё безопаснее)))

Если уж паранойя долбит - можно например распихать все демоны по своим контейнерам (например, OpenVZ).Параноидально, эффективно по обкусыванию возможностей атацкеров (ни модуль в ядро не загрузить, ни соседям не поднасрать, ни даже их ресурсы толком не выжрать) и до кучи так можно легко мониторить левую активность (понавешав ловушек, часть из которых может быть невидимыми для хаксора на хост-системе) и даже можно например тушить поломаное окружение автоматом, etc :).А если на скорость похрен - можно в порядке глума пнуть армовский бинарь под qemu.Готов поспорить - хакер сломает мозг пытаясь хотя-бы понять - а куда же он собственно попал?!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +/
Сообщение от pentarh email(ok) on 02-Июл-09, 16:34 
Еще бы сделали нормальный терминал...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +5 +/
Сообщение от vadiml on 02-Июл-09, 16:38 
Главное что бы он после этого не стал медленнее, чем сейчас
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +2 +/
Сообщение от Аноним (??) on 02-Июл-09, 16:56 
>Главное что бы он после этого не стал медленнее, чем сейчас

он становится только лучше, например, перестал течь, заделали кучу багов, стал быстрее начиная с 1.5.x

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "X-сервер скоро будет избавлен от кода, работающего с правами..."  –1 +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 02-Июл-09, 17:03 
>>Главное что бы он после этого не стал медленнее, чем сейчас
>
>он становится только лучше, например, перестал течь, заделали кучу багов, стал быстрее
>начиная с 1.5.x

... поломали multihead, изобретают и всё не могут внедрить уже который libpciaccess, разработчики ОС ломают головы над сопряжением раздробленных модулей (этот уже переехал на новый XInput, а этот нет, но при этом второй без первого не нужен), уже который релиз откладывают MPX...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "X-сервер скоро будет избавлен от кода, работающего с правами..."  –1 +/
Сообщение от vadiml on 02-Июл-09, 17:51 
Ага, из-на нерабочих  -novtswitch -sharevts я до сих пор сижу на 7й федоре
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

40. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +/
Сообщение от ddwag on 03-Июл-09, 10:26 
А какая последняя версия X в которой -novtswitch -sharevts нормально работают?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +/
Сообщение от Аноним (??) on 02-Июл-09, 19:08 
>... поломали multihead, изобретают и всё не могут внедрить уже который libpciaccess

что за libpciaccess, а то ничего толкового не нагуглилось... да и монитор у меня один.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +/
Сообщение от Name on 03-Июл-09, 05:21 
>>... поломали multihead, изобретают и всё не могут внедрить уже который libpciaccess
>
>что за libpciaccess, а то ничего толкового не нагуглилось... да и монитор
>у меня один.

Плохо гуглил. :)

http://www.x.org/wiki/PciReworkHowto

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "X-сервер скоро будет избавлен от кода, работающего с правами..."  –2 +/
Сообщение от Crazy Alex on 02-Июл-09, 17:01 
Именно. А рута переживали раньше, и дальше можно пережить... Вообще, чем бальше, тем больше я поглядываю на модильные плтформы для установки на десктоп - там поменьше уровней абстракции, и вообще не так прожорливы они...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Мде.."  +3 +/
Сообщение от Аноним (??) on 02-Июл-09, 19:48 
Сначала SELinux, потом AppArmor и PoliciKit, теперь иксы ещё. Мде, скоро будем чувсвовать себя как в тан..опенбзд =)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "Мде.."  –1 +/
Сообщение от oops on 03-Июл-09, 07:30 
Не беспокойтесь. Линуксу это не грозит.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +1 +/
Сообщение от Аноним (??) on 02-Июл-09, 19:50 
Ну а что root сильно вредит? Поставьте нужные права на /dev/sda и попробуйте записать туда какой-нибудь мусор от имени простого пользователя. Чем не rm -rf / ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +3 +/
Сообщение от XoRe (ok) on 02-Июл-09, 21:04 
>Ну а что root сильно вредит? Поставьте нужные права на /dev/sda и
>попробуйте записать туда какой-нибудь мусор от имени простого пользователя. Чем не
>rm -rf / ?

Так это нужно быть рутом, чтобы поставить права.
А рут может послать мусор в любой файл с любыми правами)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "X-сервер скоро будет избавлен от кода, работающего с правами..."  –2 +/
Сообщение от polkan (ok) on 03-Июл-09, 03:07 
неправда ваша, дяденька Биденко! (с) Сын полка
при правах 0100 даже руту будет "пермишн отбой" .... другой вопрос, что рут может ПОМЕНЯТЬ права любому файлу :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +2 +/
Сообщение от Wizard (??) on 03-Июл-09, 09:56 
А ты проверь, а потом говори!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

43. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +/
Сообщение от XoRe (ok) on 04-Июл-09, 15:30 
>неправда ваша, дяденька Биденко! (с) Сын полка
>при правах 0100 даже руту будет "пермишн отбой" .... другой вопрос, что
>рут может ПОМЕНЯТЬ права любому файлу :)

# id
uid=0(root) gid=0(root) groups=0(root)
# touch test.txt
# ls -la test.txt
-rw-r--r-- 1 root root 0 2009-07-04 07:20 test.txt
# chmod 0100 test.txt
# ls -la test.txt
---x------ 1 root root 0 2009-07-04 07:20 test.txt
# echo "write test" >> test.txt
# ls -la test.txt
---x------ 1 root root 11 2009-07-04 07:21 test.txt
# cat test.txt
write test

Насколько я знаю, пользователь с id 0 игнорирует ограничения для файлов на читать/писать, указанные с помощью chmod.
Работает только ограничение на выполнение.
Для папок ограничений нет, хоть 000 ставить.
Поправьте, если не так.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "X-сервер скоро будет избавлен от кода, работающего с правами..."  +/
Сообщение от User294 (??) on 03-Июл-09, 04:24 
>Ну а что root сильно вредит?

В случае эксплойта то?Очень даже...

>Поставьте нужные права на /dev/sda

Простите, для этого рут должен заранее об этом позаботиться.Да, админ может стрелять себе в пятки - на то и админ.

>попробуйте записать туда какой-нибудь мусор от имени простого пользователя. Чем не
>rm -rf / ?

А если раздать на все файлы нужные права - то и не-админ сможет rm -rf /
Вот только для этого надо всего-то ничего, чтобы руту приспичило раздать либеральные права... ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру