A sörétes puska hasonlatod jó, csak hibás. Ugyanis a legtöbb IT tool olyan sörétes puska, amin kismillió bizgentyű és kallantyú van, aminek az állítgatásával lábon tudod magad lőni. A sörétes puskán meg csak egy van, és van benne olyan védelmi mechanizmus, ami pont az önlábonlövés ellen véd. Egy jól megírt security patchnél tervezési elvnek kell lennie, hogy a felhasználó ne tudja magát lábon lőni.
Egy mezei rendszergazdától ne várjuk el, hogy millió plusz egy kapcsolót ismerjen. Vagy nekik szánjuk és akkor kihagyjuk/elzárjuk ezeket a kapcsolókat (lásd: developement release/production release), vagy nem dobjuk ki publikusba a kódot, hanem csakis megfelelő feng-suizó embereken át terjesztjük. Az utóbbi viszont elég veszélyes, lévén akkor más felelősségvállalási szintek vannak...
Egy vanilla kernelbe a default konfig olyan, hogy az esetek 90%-ban csont nélkül lehet működő kernelt előállítani.
A másik, hogy nagyon hibás szemléletnek tartom a kernel elpánikoltatását a biztonság nevében. Egy DOS támadás esetén, emiatt, pont triviális hibák kihasználásával is célt érhet a támadó, pont egy biztonságos kernelnél.
Igen. Továbbra is tartom, ha nem etetik a trollt, nem lesz belőle balhé. TheReg-nek is azért lépte át az ingerküszöbét, mert dráma lett belőle.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "