[devel] Q: пора разрешать privileged executables явно на уровне дистрибутивов?

[Dmitry V. Levin]

On Wed, Jan 12, 2022 at 09:23:03PM +0300, Vladimir D. Seleznev wrote:
> On Wed, Jan 12, 2022 at 09:07:23PM +0300, Dmitry V. Levin wrote:
> > On Wed, Jan 12, 2022 at 09:00:49PM +0300, Vladimir D. Seleznev wrote:
> > > On Wed, Jan 12, 2022 at 08:10:10PM +0300, Dmitry V. Levin wrote:
> > > > On Wed, Jan 12, 2022 at 04:34:06AM +0000, QA Team Robot wrote:
> > > > > 	2 NEW bugs
> > > > [...]
> > > > > #41695	libgtop         	normal  	 ---
> > > > > Содержит suid-бинарник
> > > > 
> > > > Я думаю, есть смысл, чтобы ядро за этим следило.
> > > > Загружаешь ему список разрешённых privileged executables,
> > > > все остальные запрещены.
> > > 
> > > Лучше сопровождать белый список suid-бинарников, которые можно собирать
> > > в репозитории (с привязкой к пакетам, в которых они упакованы). И
> > > дополнять этот список только после вычитки кода инженером безопасности.
> > 
> > Белый список для всего репозитория получается недостаточно гибким.
> > Допустим, ты делаешь какой-нибудь дистрибутив и не можешь не включить
> > туда какой-нибудь суидный файл, например, тот же pkexec, хотя на localhost
> > ты бы такой суидный файл и за версту бы не подпустил.
> 
> Одно другому вроде не должно мешать.

Любой белый список suid executables на уровне репозитория будет создавать
ощущение ложной безопасности, и вряд ли принесёт какую-нибудь пользу,
за исключением фильтрации совсем уж случайных suid executables.
Зато его придётся мантейнить, будут непрекращающиеся споры.  Зачем?

Вот что можно было бы полезного сделать на уровне репозитория, так это
запретить такие suid executables, которые по умолчанию доступны для
запуска всем без исключения.

> по-умолчанию, то это может нарушить принцип наименьшего удивления, хотя
> сама идея, чтобы это контролировалось ядром, мне нравится (altha это
> умеет).

Ну так использовать надо, раз умеет.  Хотя я бы предпочёл какое-нибудь
более простое решение.


-- 
ldv