| 1 |
Hi! |
| 2 |
|
| 3 |
А что нынче происходит с capabilities(7) - что является рекомендованной |
| 4 |
best practice? |
| 5 |
|
| 6 |
Теоретически включить в ядре поддержку FS_SECURITY должно быть хорошей |
| 7 |
идеей, т.к. позволит заменить suid-в-root бинарники на обычные с setcap. |
| 8 |
Но практически сейчас в портаж (в моей системе) из 23 пакетов с suid/root |
| 9 |
бинарниками только 3 (wireshark, qemu и cdrtools) поддерживают capabilities, |
| 10 |
да и то cdrtools всё-равно один бинарник оставляет suid-ным. |
| 11 |
|
| 12 |
В результате получается, что от включения FS_SECURITY эффект скорее |
| 13 |
отрицательный: suid-ных бинарников заметно меньше не становится, зато |
| 14 |
появляется необходимость контролировать не только suid-ные бинарники, но и |
| 15 |
бинарники с capabilities. |
| 16 |
|
| 17 |
|
| 18 |
P.S. Последний раз я эту ситуацию проверял несколько лет назад, и картина |
| 19 |
была примерно такая же. Иными словами никто системно не занимается |
| 20 |
переводом ebuild-ов с suid на capabilities. |
| 21 |
|
| 22 |
-- |
| 23 |
WBR, Alex. |
Archives