[devel] NobodySubjectPolicy draft

[Sergey V Turchin]

On Wednesday, 15 November 2023 20:47:56 MSK Arseny Maslennikov wrote:
> On Wed, Nov 15, 2023 at 04:42:21PM +0300, Sergey V Turchin wrote:
> > On Wednesday, 15 November 2023 16:00:56 MSK you wrote:
> > 
> > [...]
> > 
> > > Вот этот пакет зачем-то пытается ставить в систему исполнимый бинарник с
> > > setgid nobody: kf5-kdesu	zerg
> > > Забавно, что этот бинарник после установки в хешерницу всё же
> > > оказывается
> > > 2711/root/root.
> > 
> > Там для этого файла хоть 0000, не важно.
> > 
> > На что сменить? Сделать пользователя kde_nobody?
> 
> С точки зрения сабжа — лишь бы не nobody и, если можно, лучше не 99.
> Я не пользователь KDE и не знаком с особенностями работы kdesu, но если
> можно хоть 0000, то можно и root:root оставить.
В той системе, которая в hasher, пофиг, будет ли вообще работать kdesu. Там su 
или sudo будет достаточно. ;-)

> А если эта программа реально должна повышать себе группу, например, это
> часть её протокола взаимодействия с кем-то,
С пользовательским родительским процессом из-под привелегированного.

> то лучше завести отдельную, _kdesu какое-нибудь.
Ок.

-- 
Regards, Sergey.