From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <3818a99c-7447-cf97-c1e1-bb95ada02713@basealt.ru> Date: Thu, 13 Jan 2022 10:25:26 +0300 MIME-Version: 1.0 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Thunderbird/91.4.1 Content-Language: ru To: devel@lists.altlinux.org References: <20220112171010.GB11057@altlinux.org> <17e50463f00.2807.7fa2a2f3bb6a924ec61a71903b1e5144@gmail.com> <17e520c9b68.2807.7fa2a2f3bb6a924ec61a71903b1e5144@gmail.com> <8ad4b4ba-bc26-608e-363b-dddd6cea44c5@altlinux.org> From: Anton Farygin Organization: BaseALT In-Reply-To: <8ad4b4ba-bc26-608e-363b-dddd6cea44c5@altlinux.org> Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [devel] =?utf-8?b?UTog0L/QvtGA0LAg0YDQsNC30YDQtdGI0LDRgtGMIHBy?= =?utf-8?b?aXZpbGVnZWQgZXhlY3V0YWJsZXMg0Y/QstC90L4g0L3QsCDRg9GA0L7QstC9?= =?utf-8?b?0LUg0LTQuNGB0YLRgNC40LHRg9GC0LjQstC+0LI/?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 13 Jan 2022 07:25:18 -0000 Archived-At: List-Archive: List-Post: On 13.01.2022 10:23, Aleksei Nikiforov wrote: >> >> P.S. Re: sudo: why not? >> https://www.openwall.com/lists/owl-users/2004/10/20/6 >> > > Здравствуйте. > > Могу ещё предложить whitelist на уровне пакетного менеджера. При > установке или обновлении пакета, если в нём есть suid/sgid файлы, > сравнивать их с разрешённым списком в пакетном менеджере, и если этот > файл в списке отсутствует, то suid/sgid снимать. Также можно при этом > проверять что этот файл из определённого пакета, а в пакетном > менеджере включать/выключать эту фичу. Такой список будет более гибким > чем в сборочнице, а в сравнении с ядром - зависит от реализаций. Да это ерунда - пользователи отлично умеют устанавливать софт минуя пакетный менеджер. Лучше, всё-таки, на уровне ядра.