[devel] Q: пора разрешать privileged executables явно на уровне дистрибутивов?

Alexey V. Vissarionov gremlin на altlinux.org
Ср Янв 12 21:52:19 MSK 2022


On 2022-01-12 21:00:49 +0300, Vladimir D. Seleznev wrote:

 >>> #41695	libgtop		normal	 ---
 >>> Содержит suid-бинарник
 >> Я думаю, есть смысл, чтобы ядро за этим следило.
 >> Загружаешь ему список разрешённых privileged executables,
 >> все остальные запрещены.
 > Лучше сопровождать белый список suid-бинарников, которые можно
 > собирать в репозитории (с привязкой к пакетам, в которых они
 > упакованы). И дополнять этот список только после вычитки кода
 > инженером безопасности.

Это две независимые задачи.

Первая - что можно запускать как SUID. Влили список через sysctl,
потом дали указание отключить этот интерфейс (точно так же, как
/proc/sys/kernel/modules_disabled), и все: запустить бинарь можно,
но SUID не работает. И список уже хрен поменяешь - только если в
/etc/suid.d файл добавить и перезагрузиться. Мне оно видится как
файл + umask, кстати: 4 - разрешен SUID, 2 - разрешен SGID, 6 -
разрешены SUID и SGID, какой бы дикостью это ни было, ибо o+x).

Вторая - что можно собирать в репу. В идеале, конечно, SUID-бинарей
в системе вообще быть не должно, но всем понятно, что бы живем в
неидеальном мире. И как минимум предупреждение о том, что какая-то
софтина пытается протащить SUID-бинарь будет весьма полезно (а кому
очень надо, добавят "suid" в no_sisyphus_check и соберут локально;
мы же этого будем максимально избегать).


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net


Подробная информация о списке рассылки Devel