[d-kernel] [PATCH 0/2] Kiosk: turn off secureexec for allowed executables
Vitaly Chikunov
vt на altlinux.org
Чт Авг 7 01:40:56 MSK 2025
Oleg,
On Wed, Aug 06, 2025 at 05:39:41PM +0300, Oleg Solovyov wrote:
> В письме от среда, 6 августа 2025 г. 17:06:06 Москва, стандартное время
> пользователь Vitaly Chikunov написал:
> > Oleg,
> >
> > On Wed, Aug 06, 2025 at 04:18:21PM +0300, mcpain at altlinux.org wrote:
> > > From: Oleg Solovyov <mcpain at altlinux.org>
> > >
> > > Modern desktop environments tends to become incompatible with kiosk.
> > > KDE works so far but systemd unit fails to launch [1]
> > > GNOME breaks fatally [2]
> > >
> > > This happens because /lib/systemd/systemd uses secure_getenv() to get
> > > environment variables and receives NULL since secureexec is enforced by
> > > Kiosk LSM.
> > >
> > > Since I am uncertain what else is to be replaced with getenv() in
> > > systemd and how much things it will break in future I chose to allow
> > > running those executables without setting up secureexec.
> >
> > Не написано кто, планируется, что уберет secureexec флаг, это было бы
> > полезно знать для понимания замысла/контекста.
>
> Не до конца распарсил вопрос, отвечаю так, как его понял:
>
> Есть пакеты:
> - kiosk-profiles: там хранятся executables, которые разрешено запускать
> пользователю (UID >= 1000)
> - alterator-kiosk: инструмент включения-выключения режима киоска, добавления и
> удаления заранее упакованных списков (добавленных админом или находящихся в
> пакете kiosk-profiles) и применений изменений (отправление команд через утилиту
> kiosk)
> - kiosk: cli-шная утилита с простыми командами управления киоском (установить/
> получить состояние киоска, добавить/удалить/получить список разрешенных
> приложений) - именно она непосредственно общается с ядром
Спасибо.
Как я понял, только патч [PATCH 2/2] kiosk: add secureexec parameter
стоит применять.
>
> https://git.altlinux.org/people/mcpain/packages/?p=alterator-kiosk.git&a=shortlog&h=refs/heads/sisyphus
> https://git.altlinux.org/people/mcpain/packages/?
> p=kiosk.git&a=shortlog&h=refs/heads/sisyphus
>
> В списках профиля:
> U - указанный executable будет запущен с установленным secureexec
> u - указанный executable будет запущен без затрагивания secureexec
> _______________________________________________
> devel-kernel mailing list
> devel-kernel at lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel-kernel
Подробная информация о списке рассылки devel-kernel