mardi 07 octobre
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Journal : X11 sans droit root

Posté par IsNotGood () le 13 mai 2008
0
Un des points faibles de X11 pour la sécurité est qu'il s'exécute avec les droits root.
Avec kernel mode-setting (+ un petit patch), il est possible de faire tourner X11 comme une appli "normale" :
http://airlied.livejournal.com/59521.html

Ça concerne le long terme car il faut utiliser kernel mode-setting (il n'y a que les puces Intel actuellement).

Vu sur http://www.osnews.com/

> Lire le journal (20 commentaires, moyenne: 3,3).  

Vous avez demandé le commentaire #930204.

Le futur ?

Posté par Gabriel Linder () le 13/05/2008 à 00:51. (lien). Évalué à 4.

# ps aux | grep X
_x11 15199 4.6 3.2 9692 33180 ?? S 11:44PM 1:05.09 X -br -nolisten tcp (Xorg)
root 3455 0.0 0.1 1768 1060 ?? I 11:44PM 0:04.13 X: [priv] (Xorg)

Wow. Et sans faire tourner de cochonneries supplémentaires en mode kernel.

  • [^]Re: Le futur ?

    Posté par herodiade () le 13/05/2008 à 01:09. (lien). Évalué à 10.

    Exact, le xorg d'OpenBSD est patché pour révoquer ses privilèges très tôt, et depuis longtemps (mais le - petit - processus root restant continue à accéder à l'espace mémoire global, d'où le machdep.allowaperture sur x86).

    Ce que viens de faire David Airlie, si j'ai bien compris, est nouveau : il s'agit d'un X11 avec le DRI etc, qui n'a pas besoin de deviser directement d'un accès direct au périphérique PCI / à l'espace dma, ce travail naturellement noyau étant délégué au TTM. C'est un superbe progrès.

    Pour le "Ça concerne le long terme" du journal : peut-être, mais surement pas à cause du modsetting : ce dernier est vraiment en voie d'intégration imminente parrait-il.

    • [^]Re: Le futur ?

      Posté par Aldoo (Jabber id, ) le 13/05/2008 à 09:55. (lien). Évalué à 1.

      Le modesetting ? Ce n'est pas déjà intégré, du moins pour le module intel ? Ça fait quelque temps que la ML ne parle plus de la fameuse "branche modesetting" de ce pilote (c'est-à-dire qu'elle a fusionné avec le tronc) !

      • [^]Re: Le futur ?

        Posté par glisse () le 13/05/2008 à 11:58. (lien). Évalué à 6.

        Non ce n'est pas intégré et je pense qu'il faudra attendre la fin de l'année avant que cela le sois, 2.6.27 dans le meilleur des cas ou 2.6.28. Une fois que c'est intégré on peut plus changer l'API avec le monde extérieur donc il vaut mieux être prudent.

        • [^]Re: Le futur ?

          Posté par Aldoo (Jabber id, ) le 13/05/2008 à 13:39. (lien). Évalué à 1.

          Ah mais tu parles d'intégration au noyau. Au temps pour moi !

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0547s (dont 0.007 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !