[devel] Q: пора разрешать privileged executables явно на уровне дистрибутивов?

Anton Farygin rider на basealt.ru
Чт Янв 13 10:25:26 MSK 2022


On 13.01.2022 10:23, Aleksei Nikiforov wrote:
>>
>> P.S. Re: sudo: why not?
>> https://www.openwall.com/lists/owl-users/2004/10/20/6
>>
>
> Здравствуйте.
>
> Могу ещё предложить whitelist на уровне пакетного менеджера. При 
> установке или обновлении пакета, если в нём есть suid/sgid файлы, 
> сравнивать их с разрешённым списком в пакетном менеджере, и если этот 
> файл в списке отсутствует, то suid/sgid снимать. Также можно при этом 
> проверять что этот файл из определённого пакета, а в пакетном 
> менеджере включать/выключать эту фичу. Такой список будет более гибким 
> чем в сборочнице, а в сравнении с ядром - зависит от реализаций. 

Да это ерунда - пользователи отлично умеют устанавливать софт минуя 
пакетный менеджер.

Лучше, всё-таки, на уровне ядра.



Подробная информация о списке рассылки Devel