[devel] Q: пора разрешать privileged executables явно на уровне дистрибутивов?
Alexey V. Vissarionov
gremlin на altlinux.org
Ср Янв 12 21:52:19 MSK 2022
On 2022-01-12 21:00:49 +0300, Vladimir D. Seleznev wrote:
>>> #41695 libgtop normal ---
>>> Содержит suid-бинарник
>> Я думаю, есть смысл, чтобы ядро за этим следило.
>> Загружаешь ему список разрешённых privileged executables,
>> все остальные запрещены.
> Лучше сопровождать белый список suid-бинарников, которые можно
> собирать в репозитории (с привязкой к пакетам, в которых они
> упакованы). И дополнять этот список только после вычитки кода
> инженером безопасности.
Это две независимые задачи.
Первая - что можно запускать как SUID. Влили список через sysctl,
потом дали указание отключить этот интерфейс (точно так же, как
/proc/sys/kernel/modules_disabled), и все: запустить бинарь можно,
но SUID не работает. И список уже хрен поменяешь - только если в
/etc/suid.d файл добавить и перезагрузиться. Мне оно видится как
файл + umask, кстати: 4 - разрешен SUID, 2 - разрешен SGID, 6 -
разрешены SUID и SGID, какой бы дикостью это ни было, ибо o+x).
Вторая - что можно собирать в репу. В идеале, конечно, SUID-бинарей
в системе вообще быть не должно, но всем понятно, что бы живем в
неидеальном мире. И как минимум предупреждение о том, что какая-то
софтина пытается протащить SUID-бинарь будет весьма полезно (а кому
очень надо, добавят "suid" в no_sisyphus_check и соберут локально;
мы же этого будем максимально избегать).
--
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
Подробная информация о списке рассылки Devel