From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vseleznv@altlinux.org>
Date: Thu, 13 Jan 2022 09:48:48 +0300
From: "Vladimir D. Seleznev" <vseleznv@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Message-ID: <Yd/LUACxAZZvBI2/@portlab>
References: <Yd5aPmKAiAVWfEM4@beehive.mskdc.altlinux.org>
 <20220112171010.GB11057@altlinux.org>
 <17e50463f00.2807.7fa2a2f3bb6a924ec61a71903b1e5144@gmail.com>
 <Yd9TYKmb90kDYS68@glebfm.altlinux.org>
 <17e520c9b68.2807.7fa2a2f3bb6a924ec61a71903b1e5144@gmail.com>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <17e520c9b68.2807.7fa2a2f3bb6a924ec61a71903b1e5144@gmail.com>
Subject: Re: [devel] =?utf-8?b?UTog0L/QvtGA0LAg0YDQsNC30YDQtdGI0LDRgtGMIHBy?=
 =?utf-8?b?aXZpbGVnZWQgZXhlY3V0YWJsZXMg0Y/QstC90L4g0L3QsCDRg9GA0L7QstC9?=
 =?utf-8?b?0LUg0LTQuNGB0YLRgNC40LHRg9GC0LjQstC+0LI/?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Thu, 13 Jan 2022 06:48:49 -0000
Archived-At: <http://lore.altlinux.org/devel/Yd%2FLUACxAZZvBI2%2F@portlab/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On Thu, Jan 13, 2022 at 09:07:45AM +0300, Sergei Epiphanov wrote:
> 
> 
> Gleb Fotengauer-Malinovskiy <glebfm@altlinux.org> 13 января 2022 г. 
> 01:18:29 написал:
> 
> > Hi,
> >
> > On Thu, Jan 13, 2022 at 12:51:28AM +0300, Sergei Epiphanov wrote:
> >>
> >> "Dmitry V. Levin" <ldv@altlinux.org> 12 января 2022 г. 20:10:13 написал:
> >>
> >>> On Wed, Jan 12, 2022 at 04:34:06AM +0000, QA Team Robot wrote:
> >>>> 2 NEW bugs
> >>> [...]
> >>>> #41695 libgtop         normal   ---
> >>>> Содержит suid-бинарник
> >>>
> >>> Я думаю, есть смысл, чтобы ядро за этим следило.
> >>> Загружаешь ему список разрешённых privileged executables,
> >>> все остальные запрещены.
> >>
> >> Мне это не очень нравится.
> >> Во-первых, suid можно заменить на запуск через sudo или su.
> >
> > И это всяко лучше, чем использование непроверенных suid-ных программ, а
> > задача состоит именно в ограничении вреда от них.
> 
> Здесь как раз и проблема. Пример я уже привёл. Приходится ставить на 
> команду выполнение sudo без пароля, что позволяет пользователю самому 
> рулить программой через sudo.

Так идея не в том, чтобы не позволять пользователю рулить системой
(совсем даже наоборот).

Если вы ставите команду на выполнение через sudo без пароля, вы это
делаете явно, и явно запускаете команду.

Проблема же произвольных suid-бинарников в том, что при правах доступа
не строже 4xx1 (*) любой пользователь может её запустить (в т.ч.
злонамеренный или скомпрометированный), тем самым повысив себе
привилегии.  И даже если процесс сэндбоксится, сбрасывает привилегии,
всё-равно есть возможность пытаться сколь угодно долго (*) выполнить
произвольный код в привилегированном окружении до наступления успеха,
при этом эксплуатируемая ошибка не обязательно должна быть при этом
именно в запускаемом суидном бинарнике.

Но в любом случае решение, как управлять системой остаётся за
пользователем в зависимости от его модели угроз.

* В одном проекте была реализована функциональность, запрещающая на
некоторое время запускать suid-ные команды пользователю, у которого
анормально завершил работу setuid'ный процесс.

P.S. Re: sudo: why not?
https://www.openwall.com/lists/owl-users/2004/10/20/6

-- 
   WBR,
   Vladimir D. Seleznev