1 |
On Mon, 30 Sep 2013 13:22:19 +0300
|
2 |
Alex Efros <powerman@××××××××.name> wrote:
|
3 |
|
4 |
> В результате получается, что от включения FS_SECURITY эффект скорее |
5 |
> отрицательный: suid-ных бинарников заметно меньше не становится, зато |
6 |
> появляется необходимость контролировать не только suid-ные бинарники, но и |
7 |
> бинарники с capabilities. |
8 |
|
9 |
Так и есть. Практика показала, что вместо возни с suidctl.conf,
|
10 |
патчами и DAC-разрешениями на setuid-бинарники, гораздо надёжнее и
|
11 |
почти так же просто написать простые разрешительные правила RBAC,
|
12 |
жёстко ограничивая только привилегированные процессы, включая
|
13 |
гадость вроде consolekit и policykit. К тому же, потом эти правила
|
14 |
можно дополнять всем, к чему душа ляжет.
|
15 |
|
16 |
У меня есть одна десктопная машина, на которой только два setuid-root
|
17 |
бинарника: sudo и сэндбокс хромиума. Оба разрешены на выполнение только
|
18 |
отдельным группам пользователей (то есть без o+x). Сэндбокс хромиума
|
19 |
ограничен через разрешения на директорию, в которой он лежит. В принципе
|
20 |
этим можно пользоваться без RBAC, если не лень ходить в консоль от
|
21 |
рута для запуска того же cdrecord и не работать в тяжёлых
|
22 |
десктоп-окружениях.
|
23 |
|
24 |
> P.S. Последний раз я эту ситуацию проверял несколько лет назад, и картина |
25 |
> была примерно такая же. Иными словами никто системно не занимается |
26 |
> переводом ebuild-ов с suid на capabilities. |
27 |
|
28 |
Сейчасть также и едва ли изменится. У Hardened herd не хватает
|
29 |
ресурсов и желания для решения гораздо более простых и важных задач,
|
30 |
чем написание и проталкивание патчей на setuid-ный зоопарк из того,
|
31 |
что есть в portage. |