zapekl. problem a +i file

[Peter Kundrat]

Jakub Jelinek writes:
> Reseni bych spis hledal v oblasti kernel security levelu (jeste uplne
> nedopsano), immutable filu, etc. Treba si v kernelu hlidat, ktery proces
> muze pristupovat na paralelni port (a treba to dovolit pouze tasku
> /verysecureprogram). Ten pak udelat immutable, zmenit v kernelu neco tak, aby
> mimo security level 0 nepovolil chattr na file (nebo staci jen zmena z
> immutable na neimmutable) a smazani immutable filu. 

Toto uz v jadre je, akurat je nedoriesena kontrola zmeny securelevel. Cez
sysctl to je osetrene (znizit moze iba init), ale nie je vyrieseny zakaz
zapisu do /dev/kmem a /dev/hd*.

					pk