| 1 |
On Mon, 30 Sep 2013 13:22:19 +0300
|
| 2 |
Alex Efros <powerman@××××××××.name> wrote:
|
| 3 |
|
| 4 |
> В результате получается, что от включения FS_SECURITY эффект скорее |
| 5 |
> отрицательный: suid-ных бинарников заметно меньше не становится, зато |
| 6 |
> появляется необходимость контролировать не только suid-ные бинарники, но и |
| 7 |
> бинарники с capabilities. |
| 8 |
|
| 9 |
Так и есть. Практика показала, что вместо возни с suidctl.conf,
|
| 10 |
патчами и DAC-разрешениями на setuid-бинарники, гораздо надёжнее и
|
| 11 |
почти так же просто написать простые разрешительные правила RBAC,
|
| 12 |
жёстко ограничивая только привилегированные процессы, включая
|
| 13 |
гадость вроде consolekit и policykit. К тому же, потом эти правила
|
| 14 |
можно дополнять всем, к чему душа ляжет.
|
| 15 |
|
| 16 |
У меня есть одна десктопная машина, на которой только два setuid-root
|
| 17 |
бинарника: sudo и сэндбокс хромиума. Оба разрешены на выполнение только
|
| 18 |
отдельным группам пользователей (то есть без o+x). Сэндбокс хромиума
|
| 19 |
ограничен через разрешения на директорию, в которой он лежит. В принципе
|
| 20 |
этим можно пользоваться без RBAC, если не лень ходить в консоль от
|
| 21 |
рута для запуска того же cdrecord и не работать в тяжёлых
|
| 22 |
десктоп-окружениях.
|
| 23 |
|
| 24 |
> P.S. Последний раз я эту ситуацию проверял несколько лет назад, и картина |
| 25 |
> была примерно такая же. Иными словами никто системно не занимается |
| 26 |
> переводом ebuild-ов с suid на capabilities. |
| 27 |
|
| 28 |
Сейчасть также и едва ли изменится. У Hardened herd не хватает
|
| 29 |
ресурсов и желания для решения гораздо более простых и важных задач,
|
| 30 |
чем написание и проталкивание патчей на setuid-ный зоопарк из того,
|
| 31 |
что есть в portage. |
Archives