[devel] Q: пора разрешать privileged executables явно на уровне дистрибутивов?

[Sergei Epiphanov]

"Dmitry V. Levin" <ldv на altlinux.org> 12 января 2022 г. 20:10:13 написал:

> On Wed, Jan 12, 2022 at 04:34:06AM +0000, QA Team Robot wrote:
>> 2 NEW bugs
> [...]
>> #41695 libgtop         normal   ---
>> Содержит suid-бинарник
>
> Я думаю, есть смысл, чтобы ядро за этим следило.
> Загружаешь ему список разрешённых privileged executables,
> все остальные запрещены.

Мне это не очень нравится. Во-первых, suid можно заменить на запуск через 
sudo или su. Второе. Подменить "белый" файл на другой физически. Третье. А 
если потребуется дополнить систему своим пакетом со своим suid-файлом? 
Сколько нужно сделать официальных шагов для разрешения на запуск этого 
файла? Это будет где-то документировано? Или тоже придётся годами писать 
свои шпаргалки костылей? Для системы под ФСТЭК это, может, и неплохо. А 
когда при запуске конкретной, своей программы надо передать команду на 
временный останов другой программы, работающей от root, через systemctl, то 
нужно как-то поднять свои привилегии. Ну вот так сложилась архитектура. 
Удалось использовать sudo, только решение так себе получилось.

----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/devel/attachments/20220113/d1b10779/attachment-0001.html>