[d-kernel] [PATCH 1/1] kiosk: MIN_UID 500 -> 1000

Вт Фев 25 13:40:41 MSK 2025

В письме от вторник, 25 февраля 2025 г. 04:07:09 Москва, стандартное время 
пользователь Vitaly Chikunov написал:
> Oleg,
> 
> On Thu, Feb 20, 2025 at 10:58:58AM +0300, mcpain at altlinux.org wrote:
> > From: Oleg Solovyov <mcpain at altlinux.org>
> > 
> > ---
> > 
> >  security/kiosk/kiosk_lsm.c | 2 +-
> >  1 file changed, 1 insertion(+), 1 deletion(-)
> > 
> > diff --git a/security/kiosk/kiosk_lsm.c b/security/kiosk/kiosk_lsm.c
> > index 3cd4972086a4..18f810a1ce0f 100644
> > --- a/security/kiosk/kiosk_lsm.c
> > +++ b/security/kiosk/kiosk_lsm.c
> > @@ -282,7 +282,7 @@ static int kiosk_bprm_check_security(struct
> > linux_binprm *bprm)> 
> >  	if (kiosk_mode == KIOSK_PERMISSIVE)
> >  	
> >  		return 0;
> > 
> > -	if (cur_uid >= 500) {
> > +	if (cur_uid >= 1000) {
> 
> Раз этот параметр зависит от user space, то, возможно, стоило сделать
> этот параметр управляемым из user space.
> 
> Пользователи могут экспериментировать с ядрами из других бранчей или
> заданий, или майнтайнеры могут делать "карманы" с копией ядрам из Сизифа
> собранного для конкретного бранча. В этом случае они могут не заметить,
> что защита не работает.
> 
> Просто мысль, не предлагаю это реализовывать.

Об этом я тоже подумал, но не придумал как реализовать.