1 |
Hi! |
2 |
|
3 |
А что нынче происходит с capabilities(7) - что является рекомендованной |
4 |
best practice? |
5 |
|
6 |
Теоретически включить в ядре поддержку FS_SECURITY должно быть хорошей |
7 |
идеей, т.к. позволит заменить suid-в-root бинарники на обычные с setcap. |
8 |
Но практически сейчас в портаж (в моей системе) из 23 пакетов с suid/root |
9 |
бинарниками только 3 (wireshark, qemu и cdrtools) поддерживают capabilities, |
10 |
да и то cdrtools всё-равно один бинарник оставляет suid-ным. |
11 |
|
12 |
В результате получается, что от включения FS_SECURITY эффект скорее |
13 |
отрицательный: suid-ных бинарников заметно меньше не становится, зато |
14 |
появляется необходимость контролировать не только suid-ные бинарники, но и |
15 |
бинарники с capabilities. |
16 |
|
17 |
|
18 |
P.S. Последний раз я эту ситуацию проверял несколько лет назад, и картина |
19 |
была примерно такая же. Иными словами никто системно не занимается |
20 |
переводом ebuild-ов с suid на capabilities. |
21 |
|
22 |
-- |
23 |
WBR, Alex. |