From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Tue, 25 Feb 2025 04:07:09 +0300 From: Vitaly Chikunov To: ALT Linux kernel packages development Message-ID: <20250225010709.bihwtn3bugripkc4@altlinux.org> References: MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: Subject: Re: [d-kernel] [PATCH 1/1] kiosk: MIN_UID 500 -> 1000 X-BeenThere: devel-kernel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux kernel packages development List-Id: ALT Linux kernel packages development List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 25 Feb 2025 01:07:09 -0000 Archived-At: List-Archive: List-Post: Oleg, On Thu, Feb 20, 2025 at 10:58:58AM +0300, mcpain@altlinux.org wrote: > From: Oleg Solovyov > > --- > security/kiosk/kiosk_lsm.c | 2 +- > 1 file changed, 1 insertion(+), 1 deletion(-) > > diff --git a/security/kiosk/kiosk_lsm.c b/security/kiosk/kiosk_lsm.c > index 3cd4972086a4..18f810a1ce0f 100644 > --- a/security/kiosk/kiosk_lsm.c > +++ b/security/kiosk/kiosk_lsm.c > @@ -282,7 +282,7 @@ static int kiosk_bprm_check_security(struct linux_binprm *bprm) > if (kiosk_mode == KIOSK_PERMISSIVE) > return 0; > > - if (cur_uid >= 500) { > + if (cur_uid >= 1000) { Раз этот параметр зависит от user space, то, возможно, стоило сделать этот параметр управляемым из user space. Пользователи могут экспериментировать с ядрами из других бранчей или заданий, или майнтайнеры могут делать "карманы" с копией ядрам из Сизифа собранного для конкретного бранча. В этом случае они могут не заметить, что защита не работает. Просто мысль, не предлагаю это реализовывать. > bprm->secureexec = 1; > if (bprm->executable != bprm->interpreter) > return 0; > -- > 2.42.4 > > _______________________________________________ > devel-kernel mailing list > devel-kernel@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/devel-kernel