> nejede mi X server, pokud do rc.conf dam securelevel=2, se securelevel=1 
> nabehne v poradku. Mam nainstalovany aperture modul ze 
> pkgsrc/sysutils/aperture a pouzivam verified exec. V messages nedostavam 
> zadne hlasky, ze by nejaky hash nesouhlasil, relevantni rozdil v 
> securelevel 2 a 1 podle 'man 8 init' by mohl byt nasledujici:
> 
> Users may not change the per-process core name template format, only the 
> default can be changed.
> 
> V teto problematice se bohuzel detailne neorientuju, takze nevim, jestli 
> X se pokousi tu sablonu menit, nebo ne.
> 
> V logu XFree86 se tedy v securelevelu 2 objevi tohle:
> 
> Fatal server error:
> xf86EnableIO: Failed to set IOPL for extended I/O
> 
> namisto teto radky z logu pri behu v securelevelu 1:
> (II) PCI: Probing config type using method 1
> 
> Je to normalni (nema to jit), nebo se jedna o nejakou chybu?

Podle me je to normalni. man i386_iopl rika:

ERRORS
     i386_iopl() will fail if:

     [EPERM]   The caller was not the super-user, or the operation was not
               permitted at the current security level.

Ostatne k cemu by bylo dobre mit securelevel = 2 a pritom povolit primy
pristup k hardwaru? Graficke karty maji (obvykle) DMA. Staci jim rict aby
udelaly DMA na libovolne misto v pameti jadra a tim prepsat libovolnou
promennou. Cely securelevel a verified exec je pak nanic. Z tohoto pohledu
je nebezpecny i aperture driver - neb povoluje pristup ke grafarne na
libovolnem securelevelu. 

Pokud chcete doufat ze toho zadny hacker nebude schopen vyuzit, mozna by
nejaka graficka karta a jeji ovladac v XFree86 podporovaly ovladani bez
pouziti I/O portu. Co mate ted za kartu?

(Nevim tedy jestli AGP ten pristup pres DMA nemuze nejak omezit,
kazdopadne problem s pristupem na I/O porty se netyka jen grafaren ale i
treba radice disku. Cili je jedine spravne ze je to na vysokem
securelevelu zakazano.)

Pavel Cahyna