[devel] Q: пора разрешать privileged executables явно на уровне дистрибутивов?

Sergei Epiphanov serpiph на gmail.com
Чт Янв 13 09:07:45 MSK 2022



Gleb Fotengauer-Malinovskiy <glebfm на altlinux.org> 13 января 2022 г. 
01:18:29 написал:

> Hi,
>
> On Thu, Jan 13, 2022 at 12:51:28AM +0300, Sergei Epiphanov wrote:
>>
>> "Dmitry V. Levin" <ldv на altlinux.org> 12 января 2022 г. 20:10:13 написал:
>>
>>> On Wed, Jan 12, 2022 at 04:34:06AM +0000, QA Team Robot wrote:
>>>> 2 NEW bugs
>>> [...]
>>>> #41695 libgtop         normal   ---
>>>> Содержит suid-бинарник
>>>
>>> Я думаю, есть смысл, чтобы ядро за этим следило.
>>> Загружаешь ему список разрешённых privileged executables,
>>> все остальные запрещены.
>>
>> Мне это не очень нравится.
>> Во-первых, suid можно заменить на запуск через sudo или su.
>
> И это всяко лучше, чем использование непроверенных suid-ных программ, а
> задача состоит именно в ограничении вреда от них.

Здесь как раз и проблема. Пример я уже привёл. Приходится ставить на 
команду выполнение sudo без пароля, что позволяет пользователю самому 
рулить программой через sudo.

>
>> Второе. Подменить "белый" файл на другой физически.
>
> Очевидно, что такая система взломана уже без возможности восстановления
> доверия к ней.

Не очевидно. Если сам разработчик программы, не найдя ответ, почему что-то 
не работает, применит лом. Взлома нет, просто пользователю другое не пришло 
на ум.

>
>> Третье. А если потребуется дополнить систему своим пакетом со своим
>> suid-файлом?
>
> Например, существующий уже сейчас в ядрах LSM-модуль altha предоставляет
> для этого интерфейс:
>
> * kernel.altha.nosuid.enabled = 0, set to 1 to enable
> * kernel.altha.nosuid.exceptions =, colon-separated list of enabled SUID
>  binaries, for example: ``/bin/su:/usr/libexec/hasher-priv/hasher-priv``

Я вот только сейчас узнал об этом модуле. А если бы столкнулся уже с его 
работой без информации о нём - просто бы выломал его из системы от греха 
подальше, чтобы не портил жизнь непонятно чем. Применил бы тот самый лом.

----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/devel/attachments/20220113/b9c3d394/attachment-0001.html>


Подробная информация о списке рассылки Devel