История изменений
Исправление intelfx, (текущая версия) :
Выделение ЛЮБОЙ памяти в режиме для исполнения и изменения одновременно (WX) - категорически запрещено!!!
Категорически запрещено кем?
systemd и elogind написаны так, что монтируют постоянную память в режиме RXW - создают области доступные одновременно для исполнения и изменения. Это противоречит главному правилу безопасности в модели DAC.
Любой современный серверный дистрибутив Linux по умолчанию ведёт себя именно так. В том числе те, которые не основаны на systemd.
Выведет список файловых систем доступных для изменения и исполнения одновременно. Согласно главного правила построения безопасных OS этот список должен быть пуст! А в системах с systemd, elogind он не пуст!!!
Ни systemd, ни logind не мешают тебе поправить fstab и сделать так, чтобы этого не происходило.
Следовательно, systemd не мешает соблюдению этого правила, а в том, что оно не соблюдается по умолчанию, вины systemd нет (в популярных серверных дистрибутивах оно не соблюдалось никогда, в т. ч. до systemd).
Исправление intelfx, :
Выделение ЛЮБОЙ памяти в режиме для исполнения и изменения одновременно (WX) - категорически запрещено!!!
Категорически запрещено кем?
systemd и elogind написаны так, что монтируют постоянную память в режиме RXW - создают области доступные одновременно для исполнения и изменения. Это противоречит главному правилу безопасности в модели DAC.
Любой дистрибутив Linux по умолчанию ведёт себя именно так. В том числе те, которые не основаны на systemd.
Выведет список файловых систем доступных для изменения и исполнения одновременно. Согласно главного правила построения безопасных OS этот список должен быть пуст! А в системах с systemd, elogind он не пуст!!!
Ни systemd, ни logind не мешают тебе поправить fstab и сделать так, чтобы этого не происходило.
Следовательно, systemd не мешает соблюдению этого правила, а в том, что оно не соблюдается по умолчанию, вины systemd нет (в популярных серверных дистрибутивах оно не соблюдалось никогда, в т. ч. до systemd).
Исправление intelfx, :
Выделение ЛЮБОЙ памяти в режиме для исполнения и изменения одновременно (WX) - категорически запрещено!!!
Категорически запрещено кем?
systemd и elogind написаны так, что монтируют постоянную память в режиме RXW - создают области доступные одновременно для исполнения и изменения. Это противоречит главному правилу безопасности в модели DAC.
Любой дистрибутив Linux по умолчанию ведёт себя именно так. В том числе те, которые не основаны на systemd.
Выведет список файловых систем доступных для изменения и исполнения одновременно. Согласно главного правила построения безопасных OS этот список должен быть пуст! А в системах с systemd, elogind он не пуст!!!
Ни systemd, ни logind не мешают тебе поправить fstab и сделать так, чтобы этого не происходило.
Исправление intelfx, :
systemd и elogind написаны так, что монтируют постоянную память в режиме RXW - создают области доступные одновременно для исполнения и изменения. Это противоречит главному правилу безопасности в модели DAC.
Любой дистрибутив Linux по умолчанию ведёт себя именно так. В том числе те, которые не основаны на systemd.
Выведет список файловых систем доступных для изменения и исполнения одновременно. Согласно главного правила построения безопасных OS этот список должен быть пуст! А в системах с systemd, elogind он не пуст!!!
Ни systemd, ни logind не мешают тебе поправить fstab и сделать так, чтобы этого не происходило.
Исходная версия intelfx, :
systemd и elogind написаны так, что монтируют постоянную память в режиме RXW - создают области доступные одновременно для исполнения и изменения. Это противоречит главному правилу безопасности в модели DAC.
Любой дистрибутив Linux по умолчанию ведёт себя именно так. В том числе те, которые не основаны на systemd.
Выведет список файловых систем доступных для изменения и исполнения одновременно. Согласно главного правила построения безопасных OS этот список должен быть пуст! А в системах с systemd, elogind он не пуст!!!
Ни systemd, ни logind не мешают тебе сделать так, чтобы этого не происходило, путём правки fstab.