[devel] Q: пора разрешать privileged executables явно на уровне дистрибутивов?
Anton Farygin
rider на basealt.ru
Чт Янв 13 10:25:26 MSK 2022
On 13.01.2022 10:23, Aleksei Nikiforov wrote:
>>
>> P.S. Re: sudo: why not?
>> https://www.openwall.com/lists/owl-users/2004/10/20/6
>>
>
> Здравствуйте.
>
> Могу ещё предложить whitelist на уровне пакетного менеджера. При
> установке или обновлении пакета, если в нём есть suid/sgid файлы,
> сравнивать их с разрешённым списком в пакетном менеджере, и если этот
> файл в списке отсутствует, то suid/sgid снимать. Также можно при этом
> проверять что этот файл из определённого пакета, а в пакетном
> менеджере включать/выключать эту фичу. Такой список будет более гибким
> чем в сборочнице, а в сравнении с ядром - зависит от реализаций.
Да это ерунда - пользователи отлично умеют устанавливать софт минуя
пакетный менеджер.
Лучше, всё-таки, на уровне ядра.
Подробная информация о списке рассылки Devel