> И здесь мы вспоминаем про недавние новости про поддержку seccomp filters
> в vsftpd и OpenSSH, например. Ну все замечательно, конечно, но это аж 2 программы. При том далеко не самые проблемные в плане реальных взломов через них. Что это напоминает? Правильно, похоже на microsoft‑windows‑xp‑with‑firewall.jpg
> Далее, один из основных разрабочиков OpenSSH сидит от меня через два кабинета,
> и он в кулуарных разговорах высказывал заинтересованность в поддержке Capsicum.
Я рад за вас, но к чему это все? Попонтоваться? Собственно это его геморрой, ему и решать - надо ему еще порцию возни или нет. Один какой-то ssh, далеко не самый дырявый на свете - вообще ничего такого не меняет. Машина где кроме ssh ничего нет - вообще бесполезна для окружающих. А вот тут то и будет основной болт, ровно такой же как случился в винде. У которой технически есть куча пермиссий на все что можно, но практически - оно настолько задрюкано что прикладники просто кладут на это. Просто потому что трах с откусыванием прав до тотального минимума, выяснение какие права нужны и прочая - займут чуть ли не больше времени чем написание остальной части программы. Ну вот все и забили на это дружно. Прикладники положили - юзерам пришлось сидеть под админом. Иначе половина прикладух ломается непредсказуемым образом. Но некоторые видимо не хотят учить чужие ошибки. Да, это кстати и к seccomp filter относится. Ну и будет еще два раза по microsoft‑windows‑xp‑with‑firewall.jpg на практике.
> А на тех поделкописателей, которые будут упорно орать, что безопасность не важна
> -- в конце концов и положат большой и румяный :-)
То-есть, бсдшники положат сами на себя? Помнится им тут однажды paxuser довольно конкретно раздал, сравнив разные технологии hardening-а. А что, рискнете revisit'ануть дискуссию и рассказать что в отношении к секурити поменялось с тех пор? А то там помнится даже у убунтов средств по втыканию палок в колеса хакерам было больше чем у флегматичных пофигистов-теоретиков.
