From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Wed, 12 Jan 2022 21:07:23 +0300 From: "Dmitry V. Levin" To: devel@lists.altlinux.org Message-ID: <20220112180723.GA11878@altlinux.org> References: <20220112171010.GB11057@altlinux.org> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: Subject: Re: [devel] =?koi8-r?b?UTog0M/SwSDSwdrSxdvB1NggcHJpdmlsZWdlZCBleGVj?= =?koi8-r?b?dXRhYmxlcyDR187PIM7BINXSz9fOxSDEydPU0snC1dTJ18/XPw==?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 12 Jan 2022 18:07:24 -0000 Archived-At: List-Archive: List-Post: On Wed, Jan 12, 2022 at 09:00:49PM +0300, Vladimir D. Seleznev wrote: > On Wed, Jan 12, 2022 at 08:10:10PM +0300, Dmitry V. Levin wrote: > > On Wed, Jan 12, 2022 at 04:34:06AM +0000, QA Team Robot wrote: > > > 2 NEW bugs > > [...] > > > #41695 libgtop normal --- > > > Содержит suid-бинарник > > > > Я думаю, есть смысл, чтобы ядро за этим следило. > > Загружаешь ему список разрешённых privileged executables, > > все остальные запрещены. > > Лучше сопровождать белый список suid-бинарников, которые можно собирать > в репозитории (с привязкой к пакетам, в которых они упакованы). И > дополнять этот список только после вычитки кода инженером безопасности. Белый список для всего репозитория получается недостаточно гибким. Допустим, ты делаешь какой-нибудь дистрибутив и не можешь не включить туда какой-нибудь суидный файл, например, тот же pkexec, хотя на localhost ты бы такой суидный файл и за версту бы не подпустил. -- ldv