[devel] Системные пользователи, которых создаёт systemd-sysusers

Alexey V. Vissarionov gremlin на altlinux.org
Сб Фев 17 10:00:00 MSK 2024


Good ${greeting_time}!

On 2024-02-16 22:03:01 +0700, Антон Мидюков wrote:

 > У нас в репозитории есть пакеты, которые создают системного
 > пользователя при установке при помощи systemd-sysusers.
 > При этом запись для shadow, что пользователь заблокирован,
 > создаётся в /etc/shadow вместо /etc/tcb/username/shadow.

Коряква, причем потенциально создающая уязвимости.

 > Это не влияет на работу этих пакетов, но может влиять на те
 > программы, которые смотрят записи в /etc/tcb/.

Тут может получиться намного интереснее... :-)

 > Вопрос, нужно ли с этим что-то делать?

На выбор: научить это говноподелие работать через PAM (увы, tcb -
изначально PAM-модуль) или выкинуть нахрен и использовать обычный
useradd.

Второй вариант видится мне предпочтительным, ибо установленный и
используемый в системе useradd всегда можно считать правильным, а
какое волшебство происходит у него внутри - мейнтейнера волновать
особо и не должно.

 > Список пакетов:
 > brltty		viy msp antohami @everybody
 > certspotter		vt @everybody
 > deepin-app-services	lvol @everybody
 > deepin-anything	lvol @everybody
 > deepin-api		lvol @everybody
 > fwupd		rider nickel @everybody
 > gamemode-daemon	nenderus @everybody
 > kvmd			sbolshakov @everybody
 > kvmd-webterm		sbolshakov @everybody

Не так уж много, да и пакеты не особо распространенные. Проще их
исправить.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net


Подробная информация о списке рассылки Devel