[devel] Системные пользователи, которых создаёт systemd-sysusers
Alexey V. Vissarionov
gremlin на altlinux.org
Сб Фев 17 10:00:00 MSK 2024
Good ${greeting_time}!
On 2024-02-16 22:03:01 +0700, Антон Мидюков wrote:
> У нас в репозитории есть пакеты, которые создают системного
> пользователя при установке при помощи systemd-sysusers.
> При этом запись для shadow, что пользователь заблокирован,
> создаётся в /etc/shadow вместо /etc/tcb/username/shadow.
Коряква, причем потенциально создающая уязвимости.
> Это не влияет на работу этих пакетов, но может влиять на те
> программы, которые смотрят записи в /etc/tcb/.
Тут может получиться намного интереснее... :-)
> Вопрос, нужно ли с этим что-то делать?
На выбор: научить это говноподелие работать через PAM (увы, tcb -
изначально PAM-модуль) или выкинуть нахрен и использовать обычный
useradd.
Второй вариант видится мне предпочтительным, ибо установленный и
используемый в системе useradd всегда можно считать правильным, а
какое волшебство происходит у него внутри - мейнтейнера волновать
особо и не должно.
> Список пакетов:
> brltty viy msp antohami @everybody
> certspotter vt @everybody
> deepin-app-services lvol @everybody
> deepin-anything lvol @everybody
> deepin-api lvol @everybody
> fwupd rider nickel @everybody
> gamemode-daemon nenderus @everybody
> kvmd sbolshakov @everybody
> kvmd-webterm sbolshakov @everybody
Не так уж много, да и пакеты не особо распространенные. Проще их
исправить.
--
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
Подробная информация о списке рассылки Devel