[devel] CONFIG_SECURITY_DMESG_RESTRICT=y

[devel] CONFIG_SECURITY_DMESG_RESTRICT=y

[Sergey Bolshakov]

Раздражает неимоверно, да и, предположу, добавит
головной боли саппорту (любому) -- так зачем бы ?

-- 

Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y

[Leonid Krivoshein]

02.02.2022 21:57, Sergey Bolshakov пишет:
> Раздражает неимоверно, да и, предположу, добавит
> головной боли саппорту (любому) -- так зачем бы ?

А чем именно раздражает? Вполне разумное ограничение. Простому юзеру 
можно разрешить через sudo, если очень надо, да и вообще не нужны ему 
эти сообщения. Туда же капают и события безопасности, в т.ч. о 
запускаемых программах и их параметрах.


-- 
Best regards,
Leonid Krivoshein.

Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y

[Andrey Savchenko]

[-- Attachment #1: Type: text/plain, Size: 920 bytes --]

On Wed, 2 Feb 2022 22:47:49 +0300 Leonid Krivoshein wrote:
> 
> 02.02.2022 21:57, Sergey Bolshakov пишет:
> > Раздражает неимоверно, да и, предположу, добавит
> > головной боли саппорту (любому) -- так зачем бы ?
> 
> А чем именно раздражает? Вполне разумное ограничение. Простому юзеру 
> можно разрешить через sudo, если очень надо, да и вообще не нужны ему 
> эти сообщения. Туда же капают и события безопасности, в т.ч. о 
> запускаемых программах и их параметрах.
 
Вот именно. Там вообще может быть trace с критически важной
информацией. 

Best regards,
Andrew Savchenko

[-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --]

Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y

[Sergey Bolshakov]

>>>>> "Leonid" == Leonid Krivoshein <klark.devel-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes:

 > 02.02.2022 21:57, Sergey Bolshakov пишет:
 >> Раздражает неимоверно, да и, предположу, добавит
 >> головной боли саппорту (любому) -- так зачем бы ?

 > А чем именно раздражает? Вполне разумное ограничение. Простому юзеру можно
 > разрешить через sudo, если очень надо, да и вообще не нужны ему эти сообщения.
 > Туда же капают и события безопасности, в т.ч. о запускаемых программах и их
 > параметрах.

Что-то такое я предполагал, да. Что ж, наверное мне не стоит упоминать,
что journalctl -k покажет ровно всё то же самое, безо всякого sudo OHSHI~

-- 

Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y

[Vladimir D. Seleznev]

On Wed, Feb 02, 2022 at 11:53:10PM +0300, Sergey Bolshakov wrote:
> >>>>> "Leonid" == Leonid Krivoshein <klark.devel-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes:
> 
>  > 02.02.2022 21:57, Sergey Bolshakov пишет:
>  >> Раздражает неимоверно, да и, предположу, добавит
>  >> головной боли саппорту (любому) -- так зачем бы ?
> 
>  > А чем именно раздражает? Вполне разумное ограничение. Простому юзеру можно
>  > разрешить через sudo, если очень надо, да и вообще не нужны ему эти сообщения.
>  > Туда же капают и события безопасности, в т.ч. о запускаемых программах и их
>  > параметрах.
> 
> Что-то такое я предполагал, да. Что ж, наверное мне не стоит упоминать,
> что journalctl -k покажет ровно всё то же самое, безо всякого sudo OHSHI~

$ journalctl -k
bash: journalctl: command not found

Если серьёзно, то возможно это повод пересмотреть политику разрешения
просмотра системного журнала непривилегированным пользователям.

-- 
   WBR,
   Vladimir D. Seleznev

Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y

[Dmitry V. Levin]

On Wed, Feb 02, 2022 at 11:53:10PM +0300, Sergey Bolshakov wrote:
> >>>>> "Leonid" == Leonid Krivoshein <klark.devel-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes:
> 
>  > 02.02.2022 21:57, Sergey Bolshakov пишет:
>  >> Раздражает неимоверно, да и, предположу, добавит
>  >> головной боли саппорту (любому) -- так зачем бы ?
> 
>  > А чем именно раздражает? Вполне разумное ограничение. Простому юзеру можно
>  > разрешить через sudo, если очень надо, да и вообще не нужны ему эти сообщения.
>  > Туда же капают и события безопасности, в т.ч. о запускаемых программах и их
>  > параметрах.
> 
> Что-то такое я предполагал, да. Что ж, наверное мне не стоит упоминать,
> что journalctl -k покажет ровно всё то же самое, безо всякого sudo OHSHI~

$ journalctl -k
Hint: You are currently not seeing messages from other users and the system.
      Users in groups 'adm', 'systemd-journal', 'wheel' can see all messages.

На мой взгляд, настройки слишком либеральные, но даже с ними не всем
показывают.  Было бы логичным, если бы можно было в runtime настроить gid,
которому можно смотреть dmesg.


-- 
ldv

Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y

[Alexey V. Vissarionov]

On 2022-02-02 22:47:49 +0300, Leonid Krivoshein wrote:

 >> Раздражает неимоверно, да и, предположу, добавит
 >> головной боли саппорту (любому) -- так зачем бы ?
 > А чем именно раздражает? Вполне разумное ограничение.

Ничего разумного в нем нет, а желающим "бизапаснасти"
могу предложить chmod 600 /dev/kmsg

 > Простому юзеру можно разрешить через sudo, если очень
 > надо,

В грамотно настроенной системе sudo вообще не должно быть.

 > да и вообще не нужны ему эти сообщения.

Это кто так решил?

 > Туда же капают и события безопасности, в т.ч. о запускаемых
 > программах и их параметрах.

И почему же такая важная (sensitive) информация утекает в kmsg,
а не отдается доверенным смотрелкам логов через netlink? :-)


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y

[Alexey V. Vissarionov]

On 2022-02-03 00:01:23 +0300, Dmitry V. Levin wrote:

 > На мой взгляд, настройки слишком либеральные, но даже с ними
 > не всем показывают. Было бы логичным, если бы можно было в
 > runtime настроить gid, которому можно смотреть dmesg.

Можно, разрешаю:

chown root:wheel /dev/kmsg && chmod 640 /dev/kmsg


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y

[Dmitry V. Levin]

On Thu, Feb 03, 2022 at 12:50:52AM +0300, Alexey V. Vissarionov wrote:
> On 2022-02-02 22:47:49 +0300, Leonid Krivoshein wrote:
> 
>  >> Раздражает неимоверно, да и, предположу, добавит
>  >> головной боли саппорту (любому) -- так зачем бы ?
>  > А чем именно раздражает? Вполне разумное ограничение.
> 
> Ничего разумного в нем нет, а желающим "бизапаснасти"
> могу предложить chmod 600 /dev/kmsg

Как насчёт системного вызова syslog?


-- 
ldv

Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y

[Alexey V. Vissarionov]

On 2022-02-03 01:15:48 +0300, Dmitry V. Levin wrote:

 >>>> Раздражает неимоверно, да и, предположу, добавит
 >>>> головной боли саппорту (любому) -- так зачем бы ?
 >>> А чем именно раздражает? Вполне разумное ограничение.
 >> Ничего разумного в нем нет, а желающим "бизапаснасти"
 >> могу предложить chmod 600 /dev/kmsg
 > Как насчёт системного вызова syslog?

С ним как раз все хорошо. Вот без него намного хуже, ага.

Ну и /proc/sys/kernel/dmesg_restrict никто не отменял.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y

[Dmitry V. Levin]

On Thu, Feb 03, 2022 at 01:27:25AM +0300, Alexey V. Vissarionov wrote:
> On 2022-02-03 01:15:48 +0300, Dmitry V. Levin wrote:
> 
>  >>>> Раздражает неимоверно, да и, предположу, добавит
>  >>>> головной боли саппорту (любому) -- так зачем бы ?
>  >>> А чем именно раздражает? Вполне разумное ограничение.
>  >> Ничего разумного в нем нет, а желающим "бизапаснасти"
>  >> могу предложить chmod 600 /dev/kmsg
>  > Как насчёт системного вызова syslog?
> 
> С ним как раз все хорошо. Вот без него намного хуже, ага.
> 
> Ну и /proc/sys/kernel/dmesg_restrict никто не отменял.

О том и речь:
The kernel config option ``CONFIG_SECURITY_DMESG_RESTRICT`` sets the
default value of ``dmesg_restrict``.


-- 
ldv