From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Sun, 30 Jan 2022 23:47:16 +0300 From: Michael Shigorin To: devel@lists.altlinux.org Message-ID: <20220130204716.GD15875@imap.altlinux.org> References: <20220112171010.GB11057@altlinux.org> <20220112185219.GD22847@altlinux.org> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <20220112185219.GD22847@altlinux.org> User-Agent: Mutt/1.10.1 (2018-07-13) Subject: Re: [devel] =?koi8-r?b?UTog0M/SwSDSwdrSxdvB1NggcHJpdmlsZWdlZCBleGVj?= =?koi8-r?b?dXRhYmxlcyDR187PIM7BINXSz9fOxSDEydPU0snC1dTJ18/XPw==?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 30 Jan 2022 20:47:17 -0000 Archived-At: List-Archive: List-Post: On Wed, Jan 12, 2022 at 09:52:19PM +0300, Alexey V. Vissarionov wrote: > >> Я думаю, есть смысл, чтобы ядро за этим следило. > > Лучше сопровождать белый список suid-бинарников > Это две независимые задачи. +1 > Первая - что можно запускать как SUID. Влили список через sysctl, > потом дали указание отключить этот интерфейс (точно так же, как > /proc/sys/kernel/modules_disabled), и все: запустить бинарь можно, > но SUID не работает. И список уже хрен поменяешь - только если в > /etc/suid.d файл добавить и перезагрузиться. Мне оно видится как > файл + umask, кстати: 4 - разрешен SUID, 2 - разрешен SGID, 6 - > разрешены SUID и SGID, какой бы дикостью это ни было, ибо o+x). > > Вторая - что можно собирать в репу. В идеале, конечно, SUID-бинарей > в системе вообще быть не должно, но всем понятно, что бы живем в > неидеальном мире. И как минимум предупреждение о том, что какая-то > софтина пытается протащить SUID-бинарь будет весьма полезно (а кому > очень надо, добавят "suid" в no_sisyphus_check и соберут локально; > мы же этого будем максимально избегать). Не знаю, чем именно делается checkinstall, но туда бы и добавить проверку (не)появления новых suid/sgid binaries в процессе установки пакета -- как раз на случай мухлежа в %post с целью обхода 140-check-perms. --  ---- WBR, Michael Shigorin / http://altlinux.org   ------ http://opennet.ru / http://anna-news.info