Hi, On Thu, Jan 13, 2022 at 12:51:28AM +0300, Sergei Epiphanov wrote: > > "Dmitry V. Levin" 12 января 2022 г. 20:10:13 написал: > > > On Wed, Jan 12, 2022 at 04:34:06AM +0000, QA Team Robot wrote: > >> 2 NEW bugs > > [...] > >> #41695 libgtop normal --- > >> Содержит suid-бинарник > > > > Я думаю, есть смысл, чтобы ядро за этим следило. > > Загружаешь ему список разрешённых privileged executables, > > все остальные запрещены. > > Мне это не очень нравится. > Во-первых, suid можно заменить на запуск через sudo или su. И это всяко лучше, чем использование непроверенных suid-ных программ, а задача состоит именно в ограничении вреда от них. > Второе. Подменить "белый" файл на другой физически. Очевидно, что такая система взломана уже без возможности восстановления доверия к ней. > Третье. А если потребуется дополнить систему своим пакетом со своим > suid-файлом? Например, существующий уже сейчас в ядрах LSM-модуль altha предоставляет для этого интерфейс: * kernel.altha.nosuid.enabled = 0, set to 1 to enable * kernel.altha.nosuid.exceptions =, colon-separated list of enabled SUID binaries, for example: ``/bin/su:/usr/libexec/hasher-priv/hasher-priv`` -- glebfm