[devel] Q: пора разрешать privileged executables явно на уровне дистрибутивов?
Anton V. Boyarshinov
boyarsh на altlinux.org
Чт Янв 13 11:17:39 MSK 2022
В Thu, 13 Jan 2022 01:17:04 +0300
Gleb Fotengauer-Malinovskiy <glebfm на altlinux.org> пишет:
> Например, существующий уже сейчас в ядрах LSM-модуль altha предоставляет
> для этого интерфейс:
>
> * kernel.altha.nosuid.enabled = 0, set to 1 to enable
> * kernel.altha.nosuid.exceptions =, colon-separated list of enabled SUID
> binaries, for example: ``/bin/su:/usr/libexec/hasher-priv/hasher-priv``
Пожалуй, у этого интерфейса, есть определённые недостатки. А именно,
неудобно собирать этот список из каких либо .d файлов (хотя можно
сделать обработчик .d файлов, который будет генерировать конфиг для
sysctl или прямо выполнять sysctl)
Подробная информация о списке рассылки Devel