[devel] NobodySubjectPolicy draft

[Arseny Maslennikov]

On Wed, Nov 15, 2023 at 04:00:56PM +0300, Arseny Maslennikov wrote:
> === Предложение ===
> 
> Вношу следующее предложение:
> - Сменить пользователю и группе nobody численный идентификатор с 99 на
>   65534. Для обозначения 99-го оставить другое имя, например, _nobody99;
> - Передать /var/nobody этому самому _nobody99;

В частности, планирую записать в надлежащие места следующие строчки:

- В пакете setup, файл passwd.master и аналогично group.master:
  nobody:*:65534:65534:Linux Kernel overflowuid:/dev/null:/dev/null
  _nobody99:*:99:99:Nobody:/var/nobody:/dev/null

- В пакете filesystem в спеке:
  %attr(0750,root,_nobody99) %dir /var/nobody

> Для пакетов в Sisyphus:
> - Запретить установку файловых объектов под nobody с пакетами;

А также:
- В пакете sisyphus_check дополнить проверку 140-check-perms;

> - Рекомендовать мейнтейнерам не допускать, чтобы собираемые ими
>   системные службы исполняли код под nobody;

Скорее всего, нужна автопроверка устанавливаемых systemd-юнитов, чтобы
в сервисах не было директив User= и Group= со значением nobody, а также
чтобы список в SupplementaryGroups= не содержал значение nobody.

Как проверять инит-скрипты, пусть лучше подскажут пользователи этой
rc-системы.

> - Рекомендовать администраторам не запускать процессы под юзером и группой
>   nobody.

Если не возникнет возражений, составлю сборочное задание (это будет
330460, но сейчас там предыдущий вариант патча на setup).

Какие ещё пакеты, кроме systemd, запоминают UID и GID для nobody во время сборки?
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 833 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20231120/e948a17c/attachment.bin>