<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<body>
<div dir="auto">
<div dir="auto"><br></div>
<div id="aqm-original" style="color: black;">
<div dir="auto">"Dmitry V. Levin" <ldv@altlinux.org> 12 января 2022 г. 20:10:13 написал:</div>
<div><br></div>
<blockquote type="cite" class="gmail_quote" style="margin: 0 0 0 0.75ex; border-left: 1px solid #808080; padding-left: 0.75ex;">
<div dir="auto">On Wed, Jan 12, 2022 at 04:34:06AM +0000, QA Team Robot wrote:</div>
<blockquote type="cite" class="gmail_quote" style="margin: 0 0 0 0.75ex; border-left: 1px solid #0099CC; padding-left: 0.75ex;">
<div dir="auto">2 NEW bugs</div>
</blockquote>
<div dir="auto">[...]</div>
<blockquote type="cite" class="gmail_quote" style="margin: 0 0 0 0.75ex; border-left: 1px solid #0099CC; padding-left: 0.75ex;">
<div dir="auto">#41695 libgtop normal ---</div>
<div dir="auto">Содержит suid-бинарник</div>
</blockquote>
<div dir="auto"><br></div>
<div dir="auto">Я думаю, есть смысл, чтобы ядро за этим следило.</div>
<div dir="auto">Загружаешь ему список разрешённых privileged executables,</div>
<div dir="auto">все остальные запрещены.</div>
</blockquote>
</div><div dir="auto"><br></div><div dir="auto">Мне это не очень нравится. Во-первых, suid можно заменить на запуск через sudo или su. Второе. Подменить "белый" файл на другой физически. Третье. А если потребуется дополнить систему своим пакетом со своим suid-файлом? Сколько нужно сделать официальных шагов для разрешения на запуск этого файла? Это будет где-то документировано? Или тоже придётся годами писать свои шпаргалки костылей? Для системы под ФСТЭК это, может, и неплохо. А когда при запуске конкретной, своей программы надо передать команду на временный останов другой программы, работающей от root, через systemctl, то нужно как-то поднять свои привилегии. Ну вот так сложилась архитектура. Удалось использовать sudo, только решение так себе получилось. </div><div dir="auto"><br></div>
</div></body>
</html>