[d-kernel] [PATCH 1/1] kiosk: MIN_UID 500 -> 1000

Вт Фев 25 04:07:09 MSK 2025

Oleg,

On Thu, Feb 20, 2025 at 10:58:58AM +0300, mcpain at altlinux.org wrote:
> From: Oleg Solovyov <mcpain at altlinux.org>
> 
> ---
>  security/kiosk/kiosk_lsm.c | 2 +-
>  1 file changed, 1 insertion(+), 1 deletion(-)
> 
> diff --git a/security/kiosk/kiosk_lsm.c b/security/kiosk/kiosk_lsm.c
> index 3cd4972086a4..18f810a1ce0f 100644
> --- a/security/kiosk/kiosk_lsm.c
> +++ b/security/kiosk/kiosk_lsm.c
> @@ -282,7 +282,7 @@ static int kiosk_bprm_check_security(struct linux_binprm *bprm)
>  	if (kiosk_mode == KIOSK_PERMISSIVE)
>  		return 0;
>  
> -	if (cur_uid >= 500) {
> +	if (cur_uid >= 1000) {

Раз этот параметр зависит от user space, то, возможно, стоило сделать
этот параметр управляемым из user space.

Пользователи могут экспериментировать с ядрами из других бранчей или
заданий, или майнтайнеры могут делать "карманы" с копией ядрам из Сизифа
собранного для конкретного бранча. В этом случае они могут не заметить,
что защита не работает.

Просто мысль, не предлагаю это реализовывать.

>  		bprm->secureexec = 1;
>  		if (bprm->executable != bprm->interpreter)
>  			return 0;
> -- 
> 2.42.4
> 
> _______________________________________________
> devel-kernel mailing list
> devel-kernel at lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel-kernel