"Ez ugye maga a Debian/Gentoo/Whatever disztribúció update processze."
Ami szembe megy a régi alapvetéssel, hogy mindenki által írható területről nem futtatunk semmit.
"a látszatbiztonságra törekvők miatti workaround."
Szóltál nekik, hogy inkább a SELinuxot használják? Oh, wait... A SeLinux alapból nincs ott a Debian és származékain... De ha AppArmor-ral megmutatod, hogy hogyan legyen a /tmp alatti területen lévő bármi futtathatósága megakadályozva, akkor hajrá, és szerintem többen megköszönik neked :)
"1, használod a noexec-et, amin keresztülgyalogol az összes ma aktív exploit,
2, SELinux és társai megfogják, de akkor nem kell noexec, mert nem használható SELinux és társai esetén értelmesen."
Az "és" miért nem képzelhető el szerinted?
"Mivel szerinted kell noexec, az azt jelenti, hogy a rendszered az utóbbi évek támadásaival szemben sebezhető"
Nem mondtam, hogy más módszerek nincsenek, azt mondom, hogy inkább két koton, mint egy sem :-D Sajnos a Denian alapú rendszerekben a SELinux másért fájdalmas (egyébként meg tudom érteni, miért nem default arrafelé...), kell hozzá reszelés, hogy minden jól működjön vele.
Apropo, ha ezek kifejezetten jól megoldják a noexec helyettesítését, _és_ ennyire jól védelmet nyújtanak, akkor miért nem ez a default beállításuk? Miért van az, hogy egy naprakész (gyártót nem mondok) audit eszköz nem azt mondja, hogy állítsd be a SELinux-ot/AppArmort így meg így, hanem azt, hogy a /tmp -n nincs noexec,nosuid,nodev - pótold. Erre kérek tőled egzakt és alátámasztott választ. (Szerinted ugyanis a T... meg mások is minimum 10 évvel le vannak maradva...)
VPN-ben is ssh meg https van használatban, sőt https-en működő webes API által küldött-fogadott xml-ben az érzékeny adatok aláírva/titkosítva szaladoznak...