From: "Dmitry V. Levin" <ldv@altlinux.org>
To: ALT Devel discussion list <devel@lists.altlinux.org>
Subject: Re: [devel] Q: пора разрешать privileged executables явно на уровне дистрибутивов?
Date: Thu, 13 Jan 2022 02:12:53 +0300
Message-ID: <20220112231253.GA15151@altlinux.org> (raw)
In-Reply-To: <Yd8ch3/o9PiKxNsN@portlab>
On Wed, Jan 12, 2022 at 09:23:03PM +0300, Vladimir D. Seleznev wrote:
> On Wed, Jan 12, 2022 at 09:07:23PM +0300, Dmitry V. Levin wrote:
> > On Wed, Jan 12, 2022 at 09:00:49PM +0300, Vladimir D. Seleznev wrote:
> > > On Wed, Jan 12, 2022 at 08:10:10PM +0300, Dmitry V. Levin wrote:
> > > > On Wed, Jan 12, 2022 at 04:34:06AM +0000, QA Team Robot wrote:
> > > > > 2 NEW bugs
> > > > [...]
> > > > > #41695 libgtop normal ---
> > > > > Содержит suid-бинарник
> > > >
> > > > Я думаю, есть смысл, чтобы ядро за этим следило.
> > > > Загружаешь ему список разрешённых privileged executables,
> > > > все остальные запрещены.
> > >
> > > Лучше сопровождать белый список suid-бинарников, которые можно собирать
> > > в репозитории (с привязкой к пакетам, в которых они упакованы). И
> > > дополнять этот список только после вычитки кода инженером безопасности.
> >
> > Белый список для всего репозитория получается недостаточно гибким.
> > Допустим, ты делаешь какой-нибудь дистрибутив и не можешь не включить
> > туда какой-нибудь суидный файл, например, тот же pkexec, хотя на localhost
> > ты бы такой суидный файл и за версту бы не подпустил.
>
> Одно другому вроде не должно мешать.
Любой белый список suid executables на уровне репозитория будет создавать
ощущение ложной безопасности, и вряд ли принесёт какую-нибудь пользу,
за исключением фильтрации совсем уж случайных suid executables.
Зато его придётся мантейнить, будут непрекращающиеся споры. Зачем?
Вот что можно было бы полезного сделать на уровне репозитория, так это
запретить такие suid executables, которые по умолчанию доступны для
запуска всем без исключения.
> по-умолчанию, то это может нарушить принцип наименьшего удивления, хотя
> сама идея, чтобы это контролировалось ядром, мне нравится (altha это
> умеет).
Ну так использовать надо, раз умеет. Хотя я бы предпочёл какое-нибудь
более простое решение.
--
ldv
next prev parent reply other threads:[~2022-01-12 23:12 UTC|newest]
Thread overview: 16+ messages / expand[flat|nested] mbox.gz Atom feed top
2022-01-12 17:10 ` Dmitry V. Levin
2022-01-12 18:00 ` Vladimir D. Seleznev
2022-01-12 18:04 ` Vladimir D. Seleznev
2022-01-12 18:07 ` Dmitry V. Levin
2022-01-12 18:23 ` Vladimir D. Seleznev
2022-01-12 23:12 ` Dmitry V. Levin [this message]
2022-01-13 5:45 ` Vladimir D. Seleznev
2022-01-12 18:52 ` Alexey V. Vissarionov
2022-01-30 20:47 ` Michael Shigorin
2022-01-12 22:17 ` Gleb Fotengauer-Malinovskiy
2022-01-13 6:48 ` Vladimir D. Seleznev
2022-01-13 7:23 ` Aleksei Nikiforov
2022-01-13 7:25 ` Anton Farygin
2022-01-13 7:29 ` Vladimir D. Seleznev
2022-01-13 7:45 ` Anton Farygin
2022-01-13 8:17 ` Anton V. Boyarshinov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20220112231253.GA15151@altlinux.org \
--to=ldv@altlinux.org \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git