Пару месяцев назад при пересборке сизифа под ARM наткнулся на проблему с
запуском suid программ с помощью QEMU через binfmt. Тогда решил проблему 
добавив в конфигурационную строчку для binfmt флага C. С этим флагом 
binfmt даёт интерпретатору права согласно suid/sgid. Всё было хорошо. 
Пока я не решил пересобрать alt-gpgkeys. Отказался запускаться gpg. 
Выяснилось, что QEMU просто не мог прочитать ELF-файл /usr/bin/gpg, 
поскольку ему не хватало прав, даже после sgid :(

Решение всё же есть -- флаг O у binfmt. С этим флагом binfmt передаёт 
открывает файловый дескриптор для интерпретатора. Придется патчить 
QEMU :(

У меня вопрос: Каково обоснование следующего пункта в ALT Secure
Packaging Policy:

Права доступа на привилегированные исполняемые файлы

Привилегированные исполняемые файлы, т.е. исполняемые файлы с
установленными битами suid и/или sgid, НЕ ДОЛЖНЫ быть доступны по
чтению (и тем более по записи) кому-либо, кроме процессов с
uid==0. 

?

Потенциальный злоумышленник может получить доступ к содержимому
этих файлов достав их из rpm-пакета.

-- 
Regards,  Kirill A. Shutemov
 + Belarus, Minsk
 + Velesys LLC, http://www.velesys.com/
 + ALT Linux Team, http://www.altlinux.com/