<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<body>
<div dir="auto">
<div dir="auto"><br></div>
<div dir="auto"><br></div>
<div id="aqm-original" style="color: black;">
<div dir="auto">Gleb Fotengauer-Malinovskiy <glebfm@altlinux.org> 13 января 2022 г. 01:18:29 написал:</div>
<div><br></div>
<blockquote type="cite" class="gmail_quote" style="margin: 0 0 0 0.75ex; border-left: 1px solid #808080; padding-left: 0.75ex;">
<div dir="auto">Hi,</div>
<div dir="auto"><br></div>
<div dir="auto">On Thu, Jan 13, 2022 at 12:51:28AM +0300, Sergei Epiphanov wrote:</div>
<blockquote type="cite" class="gmail_quote" style="margin: 0 0 0 0.75ex; border-left: 1px solid #0099CC; padding-left: 0.75ex;">
<div dir="auto"><br></div>
<div dir="auto">"Dmitry V. Levin" <ldv@altlinux.org> 12 января 2022 г. 20:10:13 написал:</div>
<div dir="auto"><br></div>
<blockquote type="cite" class="gmail_quote" style="margin: 0 0 0 0.75ex; border-left: 1px solid #9933CC; padding-left: 0.75ex;">
<div dir="auto">On Wed, Jan 12, 2022 at 04:34:06AM +0000, QA Team Robot wrote:</div>
<blockquote type="cite" class="gmail_quote" style="margin: 0 0 0 0.75ex; border-left: 1px solid #669900; padding-left: 0.75ex;">
<div dir="auto">2 NEW bugs</div>
</blockquote>
<div dir="auto">[...]</div>
<blockquote type="cite" class="gmail_quote" style="margin: 0 0 0 0.75ex; border-left: 1px solid #669900; padding-left: 0.75ex;">
<div dir="auto">#41695 libgtop normal ---</div>
<div dir="auto">Содержит suid-бинарник</div>
</blockquote>
<div dir="auto"><br></div>
<div dir="auto">Я думаю, есть смысл, чтобы ядро за этим следило.</div>
<div dir="auto">Загружаешь ему список разрешённых privileged executables,</div>
<div dir="auto">все остальные запрещены.</div>
</blockquote>
<div dir="auto"><br></div>
<div dir="auto">Мне это не очень нравится.</div>
<div dir="auto">Во-первых, suid можно заменить на запуск через sudo или su.</div>
</blockquote>
<div dir="auto"><br></div>
<div dir="auto">И это всяко лучше, чем использование непроверенных suid-ных программ, а</div>
<div dir="auto">задача состоит именно в ограничении вреда от них.</div>
<div dir="auto"></div></blockquote></div><div dir="auto"><br></div><div dir="auto">Здесь как раз и проблема. Пример я уже привёл. Приходится ставить на команду выполнение sudo без пароля, что позволяет пользователю самому рулить программой через sudo. </div><div dir="auto"><br></div><div id="aqm-original" style="color: black;" dir="auto"><blockquote type="cite" class="gmail_quote" style="margin: 0 0 0 0.75ex; border-left: 1px solid #808080; padding-left: 0.75ex;"><div dir="auto"><br></div>
<blockquote type="cite" class="gmail_quote" style="margin: 0 0 0 0.75ex; border-left: 1px solid #0099CC; padding-left: 0.75ex;">
<div dir="auto">Второе. Подменить "белый" файл на другой физически.</div>
</blockquote>
<div dir="auto"><br></div>
<div dir="auto">Очевидно, что такая система взломана уже без возможности восстановления</div>
<div dir="auto">доверия к ней.</div></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Не очевидно. Если сам разработчик программы, не найдя ответ, почему что-то не работает, применит лом. Взлома нет, просто пользователю другое не пришло на ум. </div><div dir="auto"><br></div><div dir="auto"><div id="aqm-original" style="color: black;" dir="auto"><blockquote type="cite" class="gmail_quote" style="margin: 0 0 0 0.75ex; border-left: 1px solid #808080; padding-left: 0.75ex;"><div dir="auto"></div>
<blockquote type="cite" class="gmail_quote" style="margin: 0 0 0 0.75ex; border-left: 1px solid #0099CC; padding-left: 0.75ex;">
<div dir="auto">Третье. А если потребуется дополнить систему своим пакетом со своим</div>
<div dir="auto">suid-файлом? </div>
</blockquote>
<div dir="auto"><br></div>
<div dir="auto">Например, существующий уже сейчас в ядрах LSM-модуль altha предоставляет</div>
<div dir="auto">для этого интерфейс:</div>
<div dir="auto"><br></div>
<div dir="auto">* kernel.altha.nosuid.enabled = 0, set to 1 to enable</div>
<div dir="auto">* kernel.altha.nosuid.exceptions =, colon-separated list of enabled SUID</div>
<div dir="auto"> binaries, for example: ``/bin/su:/usr/libexec/hasher-priv/hasher-priv``</div>
</blockquote>
</div><div dir="auto"><br></div><div dir="auto">Я вот только сейчас узнал об этом модуле. А если бы столкнулся уже с его работой без информации о нём - просто бы выломал его из системы от греха подальше, чтобы не портил жизнь непонятно чем. Применил бы тот самый лом. </div><div dir="auto"><br></div>
</div></body>
</html>