itt irtam altalanossagban (elvileg matol barki olvashatja), ha van konkret kerdes, akkor itt is vagy ott is lehet kerdezni nyugodtan.
az LSM-rol annyit mondanek, hogy az egy erosen politikailag motivalt folyamat eredmenye volt, alapveto donteseknek nem volt koze technikai megfontolasokhoz (pl. authoritative vs. permissive hook-ok kerdese, vagy minek hivtak oket). kispalyas jatekosok eleve ki voltak hagyva az egeszbol, teljesen celtalan lett volna beleszolni a folyamatba, sokkal nagyon jatekosoknak sem sikerult elerni, amire szukseguk lett volna (pl. hany eve nem kerult be a CoDomain->SubDomain->AppArmor evoluciot bejaro kod?). irni egy masik LSM-t meg... minek? grsec-nek is meg RSBAC-nak is megvoltak a sajat hook-jaik, mi ertelme lett volna valami kozos nevezot talalni (mar ha egyaltalan lehetseges)? folosleges idobefektetes (utalnek az lwn-es valaszomra meg a szabadido hianyara), senki az eletben nem akarta oket egyutt hasznalni, mert ertelmetlen (mint ahogy ket LSM-et is az).
PaX-szal kapcsolatban meg egyszeru a dolog: Linus valamiert ki nem allhatja az i386 szegmentaciot, es minden erre epulo dolgot mereven ellenez (l. Exec-Shield visszautasitasa). a PaX kb. osszes kernel onvedelmi mechanizmusa erosen szegmentaciora alapul, tehat ezek eleve buktak. aztan ott van pl. a vma tukrozes, ami egy nem trivialis VM alrendszer modositas es ehhez kepest eleg kicsi a haszna (marmint manapsag, anno, amikor az NX bites i386 procik nem leteztek, persze mas volt a helyzet, pont ezert letezik PaX ugye :). marpedig Linus masik elve, hogy o csak olyan kodot vesz be, ami kb. 'orokke' hasznos marad. eleg csacsi felfogas, dehat az o fajat o kezeli. aztan van meg jo par kisebb-nagyobb modositas, ami nem konfiguralhato de szukseges bizonyos feature-okhoz, pl. en a per-cpu GDT-ket visszaraktam egy nagy tombbe, mert igy lehet a legjobban megvedeni oket. ez megint olyan dolog, amit Linus soha nem fogadna el, marpedig akkor tovabbra is nekem kene karbantartani, a tobbi erre epulo feature-rel egyetemben - akkor meg minek torjem magam mas reszek beolvasztasaval, ha eredoben nem lesz lenyegesen kevesebb a PaX-ra forditando idom.