Beiträge anzeigen

Diese Sektion erlaubt es ihnen alle Beiträge dieses Mitglieds zu sehen. Beachten sie, dass sie nur solche Beiträge sehen können, zu denen sie auch Zugriffsrechte haben.


Themen - hardfalcon

Seiten: [1]
1
Wünsche und Anregungen / Kaffeine-Patches unter http://sundtek.de/media veröffentlichen
« am: September 30, 2014, 07:16:35 Vormittag »
Könntet ihr bitte eure Patches für kaffeine auf http://sundtek.de/media veröffentlichen, so wie ihr das mit den übrigen Teilen eurer Software auch tut?

Bei mir kommt es z.B. nur alle paar Monate mal vor, dass ich kaffeine mal wieder neu bauen muss, weil eine neue Version übers Paketmanagement gekommen ist. Da ist es ziemlich anstrengend, jedes Mal das ganze Forum abzugrasen, was jetzt grade die aktuellste/offizielle Version des Patches ist. Dazu kann man "von außen" auch nur schwer abschätzen, ob ein Forenposting, das ein Jahr alt ist, noch "aktuell" ist, oder ob ihr nicht mittlerweile in irgendeinem anderen Thread eine neuere Version des Patches veröffentlicht habt.

Danke im Vorraus. :-)

2
Wünsche und Anregungen / Support für grsecurity
« am: September 30, 2014, 07:10:44 Vormittag »
Leider funktioniert der Sundtek-Treiber auf grsecurity-Kerneln nur, wenn man mit
Code: [Auswählen]
# sysctl kernel.grsecurity.harden_ipc=0das grsec-Feature "Disallow access to overly-permissive IPC objects" abschaltet. Hintergrund scheint zu sein, dass der Sundtek-Treiber Semaphores mit den Zugriffsrechten 666 bzw. 777 benutzt.

Auch wenn ich gut verstehen kann, dass so "offenherzige" Zugriffsrechte benutzt werden, um das Supportaufkommen in halbwegs erträglichen Bahnen zu halten - IMHO wäre es (nicht nur für grsec-Nutzer) wünschenswert, wenn man optional in /etc/sundtek.conf eine Gruppe einstellen könnte, in deren Kontext der Sundtek-Treiber ausgeführt wird, und in der man Mitglied sein muss, um auf den Sundtek-Treiber zugreifen zu können (d.h. Zugriffsrechte von 660 und 770 für die oben genannten Semaphores). Euer Treiber ist closed source und läuft als root - d.h. ich kann selber nicht mit vertretbarem Aufwand rausfinden, ob euer Treiber für mein System ein Sicherheitsrisiko (Stichwort "privilege escalation") darstellt. Vor diesem Hintergrund würde es mich zumindest ein bisschen ruhiger schlafen lassen, wenn ich den Zugriff auf den Treiber auf eine bestimmmte Benutzergruppe einschränken könnte.

Falls ihr dieses Feature implementiert, sollte der "nicht-root"-Teil des Treibers natürlich die o.g. Config-Option ebenfalls auswerten und benutzen, um ggf. die korrekte Benutzergruppe auszuwählen (Szenario: der Benutzer hat als primäre Gruppe "users", und "sundtek" ist nur eine der sekundären Gruppen des Accounts).

Ansonsten: Danke für den tollen Support auch auf etwas exotischeren Plattformen! :-)

Seiten: [1]