* [devel] xdg-su и wayland
@ 2018-07-05 11:15 Антон Мидюков
2018-07-05 11:23 ` Dmitry V. Levin
` (2 more replies)
0 siblings, 3 replies; 5+ messages in thread
From: Антон Мидюков @ 2018-07-05 11:15 UTC (permalink / raw)
To: ALT Devel discussion list
Добрый день!
Некоторые приложения используют до сих пор для получения прав root
запуск через xdg-su. На wayland их запустить не получится, если
установлен графический helper (beesu или gksu, например). Если они не
установлены, то через
xterm -e 'su -c cmd'
запустится, но будет использовать переменные пользователя, а не root
(это же тоже нехорошо, работать из-под root с переменными
пользователя?). И не запустится, если программа запускается через
consolehelper, который в wayland не работает. (я xdg-su рекомендую как
объезд неработающего consolehelper для gnome3 стартеркита).
Чтобы можно было запустить через графический helper, нужно дать такое
разрешение:
xhost +si:localuser:root
Соответственно, вопрос. Никто не будет возражать, если я пропатчу
xdg-su, чтобы давалось это разрешение на время запуска и работы
программы при использовании графического хелпера, а затем убиралось
командой, после завершения работы с ней:
xhost -si:localuser:root
И можно ли считать такое разрешение дырой в безопасности, учитывая, что
пользователь сам себе может дать его?
--
С уважением, Антон Мидюков <antohami@altlinux.org>
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] xdg-su и wayland
2018-07-05 11:15 [devel] xdg-su и wayland Антон Мидюков
@ 2018-07-05 11:23 ` Dmitry V. Levin
2018-07-05 11:31 ` Alexey V. Vissarionov
2018-07-10 9:02 ` Aleksei Nikiforov
2 siblings, 0 replies; 5+ messages in thread
From: Dmitry V. Levin @ 2018-07-05 11:23 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 938 bytes --]
On Thu, Jul 05, 2018 at 06:15:31PM +0700, Антон Мидюков wrote:
[...]
> Чтобы можно было запустить через графический helper, нужно дать такое
> разрешение:
>
> xhost +si:localuser:root
>
> Соответственно, вопрос. Никто не будет возражать, если я пропатчу
> xdg-su, чтобы давалось это разрешение на время запуска и работы
> программы при использовании графического хелпера, а затем убиралось
> командой, после завершения работы с ней:
>
> xhost -si:localuser:root
Если добавление si:localuser:root небезопасно, то я категорически против.
Если добавление si:localuser:root безопасно, то почему это не сделано
по умолчанию, и зачем это добавление отменять?
Кстати, вы вряд ли сможете реализовать race free cleanup.
>
> И можно ли считать такое разрешение дырой в безопасности, учитывая, что
> пользователь сам себе может дать его?
Одно дело "может", другое дело "делает информированный выбор".
--
ldv
[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] xdg-su и wayland
2018-07-05 11:15 [devel] xdg-su и wayland Антон Мидюков
2018-07-05 11:23 ` Dmitry V. Levin
@ 2018-07-05 11:31 ` Alexey V. Vissarionov
2018-07-05 13:36 ` Антон Мидюков
2018-07-10 9:02 ` Aleksei Nikiforov
2 siblings, 1 reply; 5+ messages in thread
From: Alexey V. Vissarionov @ 2018-07-05 11:31 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 996 bytes --]
On 2018-07-05 18:15:31 +0700, Антон Мидюков wrote:
> Чтобы можно было запустить через графический helper, нужно
> дать такое разрешение: xhost +si:localuser:root Соответственно,
> вопрос. Никто не будет возражать, если я пропатчу xdg-su, чтобы
> давалось это разрешение на время запуска и работы программы
> при использовании графического хелпера, а затем убиралось
> командой, после завершения работы с ней: xhost -si:localuser:root
Ну коряква ведь...
> И можно ли считать такое разрешение дырой в безопасности,
> учитывая, что пользователь сам себе может дать его?
Сильно зависит от настроек Xwindow. Даже `xhost +` вполне может
считаться безопасным - в частности, при запуске `X -nolisten tcp`
и грамотно выставленных правах на сокет.
В общем, я бы подумал как раз в эту сторону, причем глобально.
--
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] xdg-su и wayland
2018-07-05 11:31 ` Alexey V. Vissarionov
@ 2018-07-05 13:36 ` Антон Мидюков
0 siblings, 0 replies; 5+ messages in thread
From: Антон Мидюков @ 2018-07-05 13:36 UTC (permalink / raw)
To: devel
05.07.2018 18:31, Alexey V. Vissarionov пишет:
> On 2018-07-05 18:15:31 +0700, Антон Мидюков wrote:
>
>
> > И можно ли считать такое разрешение дырой в безопасности,
> > учитывая, что пользователь сам себе может дать его?
>
> Сильно зависит от настроек Xwindow. Даже `xhost +` вполне может
> считаться безопасным - в частности, при запуске `X -nolisten tcp`
> и грамотно выставленных правах на сокет.
>
> В общем, я бы подумал как раз в эту сторону, причем глобально.
А у нас как Xwindow настроен по-умолчанию? Безопасно?
Я читал баг на эту тему в Редхате (давненько, потому ссылку не нашёл).
Они аргументировали свою позицию желанием вообще запретить запускать
приложения от root в wayland, заменить запуск от root повышением
привилегий при помощи polkit. Т.е. по их мнению иксы сейчас небезопасны,
а переход на wayland хороший повод пересадить всех на polkit, что
сделает wayland безопасным по сравнению с иксами.
Обход проблемы запуска приложений от root в wayland широко распространён
и известен (гуглится на раз два):
if [ $XDG_SESSION_TYPE = "wayland" ]; then
xhost +si:localuser:root
fi
Мне так и не понятно, такое разрешение хоть какую-то угрозу безопасности
представляет? При каких условиях это позволит злоумышленнику
(вредоносному приложению) получить несанкционированный доступ (повысить
привилегии)?
Как я писал в первом письме, приложения с правами root, но с переменными
окружения пользователя, в wayland можно запустить через:
su -c команда
А потому я не вижу смысла не разрешать xhost +si:localuser:root
по-умолчанию...
--
С уважением, Антон Мидюков <antohami@altlinux.org>
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] xdg-su и wayland
2018-07-05 11:15 [devel] xdg-su и wayland Антон Мидюков
2018-07-05 11:23 ` Dmitry V. Levin
2018-07-05 11:31 ` Alexey V. Vissarionov
@ 2018-07-10 9:02 ` Aleksei Nikiforov
2 siblings, 0 replies; 5+ messages in thread
From: Aleksei Nikiforov @ 2018-07-10 9:02 UTC (permalink / raw)
To: devel
Здравствуйте.
05.07.2018 14:15, Антон Мидюков пишет:
> Добрый день!
>
> Некоторые приложения используют до сих пор для получения прав root
> запуск через xdg-su. На wayland их запустить не получится, если
> установлен графический helper (beesu или gksu, например). Если они не
> установлены, то через
>
> xterm -e 'su -c cmd'
>
> запустится, но будет использовать переменные пользователя, а не root
> (это же тоже нехорошо, работать из-под root с переменными
> пользователя?). И не запустится, если программа запускается через
> consolehelper, который в wayland не работает. (я xdg-su рекомендую как
> объезд неработающего consolehelper для gnome3 стартеркита).
>
> Чтобы можно было запустить через графический helper, нужно дать такое
> разрешение:
>
> xhost +si:localuser:root
>
> Соответственно, вопрос. Никто не будет возражать, если я пропатчу
> xdg-su, чтобы давалось это разрешение на время запуска и работы
> программы при использовании графического хелпера, а затем убиралось
> командой, после завершения работы с ней:
>
> xhost -si:localuser:root
>
> И можно ли считать такое разрешение дырой в безопасности, учитывая, что
> пользователь сам себе может дать его?
>
Не могу сказать насчёт безопасности добавления таких разрешений, но
явное удаление мне не нравится тем, что если пользователь ранее выдал
такое разрешение или настроил его автоматическую выдачу, то такое
удаление поломает ожидаемое пользователем поведение.
С уважением,
Алексей Никифоров
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2018-07-10 9:02 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2018-07-05 11:15 [devel] xdg-su и wayland Антон Мидюков
2018-07-05 11:23 ` Dmitry V. Levin
2018-07-05 11:31 ` Alexey V. Vissarionov
2018-07-05 13:36 ` Антон Мидюков
2018-07-10 9:02 ` Aleksei Nikiforov
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git