[devel] Q: пора разрешать privileged executables явно на уровне дистрибутивов?

[Michael Shigorin]

On Wed, Jan 12, 2022 at 09:52:19PM +0300, Alexey V. Vissarionov wrote:
> >> Я думаю, есть смысл, чтобы ядро за этим следило.
> > Лучше сопровождать белый список suid-бинарников
> Это две независимые задачи.

+1

> Первая - что можно запускать как SUID. Влили список через sysctl,
> потом дали указание отключить этот интерфейс (точно так же, как
> /proc/sys/kernel/modules_disabled), и все: запустить бинарь можно,
> но SUID не работает. И список уже хрен поменяешь - только если в
> /etc/suid.d файл добавить и перезагрузиться. Мне оно видится как
> файл + umask, кстати: 4 - разрешен SUID, 2 - разрешен SGID, 6 -
> разрешены SUID и SGID, какой бы дикостью это ни было, ибо o+x).
> 
> Вторая - что можно собирать в репу. В идеале, конечно, SUID-бинарей
> в системе вообще быть не должно, но всем понятно, что бы живем в
> неидеальном мире. И как минимум предупреждение о том, что какая-то
> софтина пытается протащить SUID-бинарь будет весьма полезно (а кому
> очень надо, добавят "suid" в no_sisyphus_check и соберут локально;
> мы же этого будем максимально избегать).

Не знаю, чем именно делается checkinstall, но туда бы и добавить
проверку (не)появления новых suid/sgid binaries в процессе
установки пакета -- как раз на случай мухлежа в %post с целью
обхода 140-check-perms.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info