From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mike@altlinux.org>
Date: Sun, 30 Jan 2022 23:47:16 +0300
From: Michael Shigorin <mike@altlinux.org>
To: devel@lists.altlinux.org
Message-ID: <20220130204716.GD15875@imap.altlinux.org>
References: <Yd5aPmKAiAVWfEM4@beehive.mskdc.altlinux.org>
 <20220112171010.GB11057@altlinux.org> <Yd8XUU+SWjeWz0Rj@portlab>
 <20220112185219.GD22847@altlinux.org>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <20220112185219.GD22847@altlinux.org>
User-Agent: Mutt/1.10.1 (2018-07-13)
Subject: Re: [devel]
 =?koi8-r?b?UTog0M/SwSDSwdrSxdvB1NggcHJpdmlsZWdlZCBleGVj?=
 =?koi8-r?b?dXRhYmxlcyDR187PIM7BINXSz9fOxSDEydPU0snC1dTJ18/XPw==?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sun, 30 Jan 2022 20:47:17 -0000
Archived-At: <http://lore.altlinux.org/devel/20220130204716.GD15875@imap.altlinux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On Wed, Jan 12, 2022 at 09:52:19PM +0300, Alexey V. Vissarionov wrote:
> >> Я думаю, есть смысл, чтобы ядро за этим следило.
> > Лучше сопровождать белый список suid-бинарников
> Это две независимые задачи.

+1

> Первая - что можно запускать как SUID. Влили список через sysctl,
> потом дали указание отключить этот интерфейс (точно так же, как
> /proc/sys/kernel/modules_disabled), и все: запустить бинарь можно,
> но SUID не работает. И список уже хрен поменяешь - только если в
> /etc/suid.d файл добавить и перезагрузиться. Мне оно видится как
> файл + umask, кстати: 4 - разрешен SUID, 2 - разрешен SGID, 6 -
> разрешены SUID и SGID, какой бы дикостью это ни было, ибо o+x).
> 
> Вторая - что можно собирать в репу. В идеале, конечно, SUID-бинарей
> в системе вообще быть не должно, но всем понятно, что бы живем в
> неидеальном мире. И как минимум предупреждение о том, что какая-то
> софтина пытается протащить SUID-бинарь будет весьма полезно (а кому
> очень надо, добавят "suid" в no_sisyphus_check и соберут локально;
> мы же этого будем максимально избегать).

Не знаю, чем именно делается checkinstall, но туда бы и добавить
проверку (не)появления новых suid/sgid binaries в процессе
установки пакета -- как раз на случай мухлежа в %post с целью
обхода 140-check-perms.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info