1.20, Анонн (?), 13:35, 24/03/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Перемудрили они конечно с этими setgid/setuid. Такое количество абстракций, что не удивительно что где-то логику не продумали.
| |
|
2.23, Аноним (23), 14:57, 24/03/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
setuid/setgid это вообще чудовищный костыль родом из 80-х. Целый механизм файловой системы поддерживается уже 40 лет, но используется только для одной программы - sudo.
| |
|
3.24, Аноним (24), 15:49, 24/03/2023 [^] [^^] [^^^] [ответить]
| +/– |
Справедливости ради, судо вообще костыль и мало где применим. Это механизм для запуска бинаря с чужими правами, поэтому применятся пользователями в многопользовательских конфигурациях, а не то, что ты подумал. Как это может использовать софт, по-твоему? Ну вот стим например от другого пользователя запускаешь, что файрвол мог его контролировать.
| |
|
4.26, Аноним (23), 16:02, 24/03/2023 [^] [^^] [^^^] [ответить]
| +/– |
> судо вообще костыль
Костыль, да. Но удобный, и исключительно поэтому еще жив.
> и мало где применим
В каком смысле? Он применим везде, где его применяют.
Дальнейший ваш поток сознания у меня расшифровать не получилось.
| |
|
5.28, Аноним (24), 16:07, 24/03/2023 [^] [^^] [^^^] [ответить]
| –3 +/– |
Ни разу в жизни не использовал судо. Чем он удобный? Костыль костыльный, есть 100 способов сделать нормально не создавая уязвимость.
| |
|
|
|
8.34, Аноним (23), 16:46, 24/03/2023 [^] [^^] [^^^] [ответить] | +/– | Поддержка libcap должна быть предусмотрена заранее, произвольный бинарник так не... текст свёрнут, показать | |
8.35, Аноним (35), 16:55, 24/03/2023 [^] [^^] [^^^] [ответить] | +1 +/– | Год назад в polkit была уязвимость CVE-2021-4034, до сих пор название помню, т ... текст свёрнут, показать | |
|
9.49, n00by (ok), 07:56, 25/03/2023 [^] [^^] [^^^] [ответить] | +/– | Если скорректировать причинно-следственные связи, то это ядру нужно знать, приви... текст свёрнут, показать | |
|
|
|
|
|
4.39, Аноним (39), 19:30, 24/03/2023 [^] [^^] [^^^] [ответить]
| +/– |
А почему костыль то? Костыль - это обходное временное решение взамен нормального. Судо вполне самодостаточное решение, решающее свою задачу.
| |
|
5.40, Аноним (24), 19:44, 24/03/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Так это и есть дёшево и сейчас, переложив целиком всю заботу вон на тех ребят, мол, не наши проблемы. Из убунтят уже выросли поколения хипстеров по песню "коко под рутом низя работать лучше вот вам ALL=(ALL) NOPASSWD: ALL".
| |
|
|
3.25, birdie (ok), 15:57, 24/03/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
Не только sudo.
/usr/sbin/pam_timestamp_check
/usr/sbin/unix_chkpwd
/usr/sbin/userhelper
/usr/sbin/mount.davfs
/usr/sbin/grub2-set-bootflag
/usr/sbin/usernetctl
/usr/lib/polkit-1/polkit-agent-helper-1
/usr/bin/fusermount
/usr/bin/at
/usr/bin/sudo
/usr/bin/chfn
/usr/bin/pkexec
/usr/bin/firejail
/usr/bin/mount
/usr/bin/chage
/usr/bin/crontab
/usr/bin/chsh
/usr/bin/passwd
/usr/bin/umount
/usr/bin/gpasswd
/usr/bin/su
/usr/bin/newgrp
/usr/bin/fusermount3
/usr/libexec/dbus-1/dbus-daemon-launch-helper
/usr/libexec/ddccontrol/ddcpci
/usr/libexec/qemu/qemu-bridge-helper
/usr/libexec/Xorg.wrap
/opt/google/chrome/chrome-sandbox
| |
|
|
|
6.44, Аноним (44), 21:58, 24/03/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
Хром для изоляции запускает контейнер, а для запуска контейнера во многих дистрибутивах требуются права рута (а в тех, где не требуются, для этого используются USER_NS, которые тоже то ещё минное поле в плане безопасности). Поэтому эта песочница получает права рута через setuid, запускает контейнер, после чего сразу же лишает себя и прав рута, и возможности получить их снова. Это стандартный подход, и setuid почти всегда используется именно так: сразу после запуска получил права рута -> открыл ресурс, необходимый для работы, но доступный только руту -> лишил себя прав рута и возможности получить их снова, но ресурс сохранил -> начал работать.
| |
|
7.45, dannyD (?), 22:15, 24/03/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
эт всё понятно, но недоверие к методам корпорации бобра у меня уже лет пятнацт.
| |
|
|
|
4.52, Аноним (52), 11:33, 25/03/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
А в правельных дистрибутивах так:
ls -l /sbin/unix_chkpwd
-rwx--x--x 1 root root 38624 Feb 23 2020 /sbin/unix_chkpwd
getcap /sbin/unix_chkpwd
/sbin/unix_chkpwd = cap_dac_override+i
/etc/security/capability.conf:
cap_dac_override vasya
none *
| |
|
3.31, lucentcode (ok), 16:13, 24/03/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну, без этого костыля было бы сложно apache запускать cgi/fast_cgi от имени пользователя, а не apache/www-data. А так есть апачик, который дёргает suexec(приложуху, что имеет setuid и запускает fastcgi от нужного юзверя), и у нас апачик от одного юзера работает, а обработчики php от другого запускаются. И таких приколов, когда костыль нужен, много. Емнип, у exim бинарь с подобными правами. Запускается от одного юзера процесс, выполняется от имени другого.
| |
|
4.37, Аноним (37), 18:10, 24/03/2023 [^] [^^] [^^^] [ответить]
| +4 +/– |
Шёл 2023-й год, а люди всё еще обсуждают проблемы shared hosting.
Ещё 10 лет назад эта проблема решалась запуском динамических php-fpm-пулов, по пулу на пользователя, и mod_fcgid (хотя в большинстве случаев - если это не невменоз с километром реврайтов в htaccess - достаточно nginx).
Сейчас же проще просто назапускать контейнеров.
| |
4.41, Аноним (41), 20:31, 24/03/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Что удобно, так это то, что этот же suexec позволял запустить от другого пользователя не только php. Незаменимая вещь, когда рута от сервака нет, а поадминить хочется.
| |
|
3.50, Аноним (50), 08:43, 25/03/2023 [^] [^^] [^^^] [ответить]
| +/– |
> используется только для одной программы
Это не так. В разных дистрах по разному. Многие уже используют CAP. В многопользовательских системах subit на группу необходим для некоторых каталогов, для ACL нужен.
SUID оказывается и CAP необходим для понижения привилегий root: https://www.opennet.ru/openforum/vsluhforumID10/5622.html#12
По теме, в нормальных дистрах монтирование дисков в режиме записи, на рабочей системе, запрещено.
| |
|
4.51, Аноним (51), 11:22, 25/03/2023 [^] [^^] [^^^] [ответить]
| +/– |
> в нормальных дистрах монтирование дисков в режиме записи, на рабочей системе, запрещено.
Как и OverlayFS с FUSE.
| |
|
3.53, anonymous (??), 12:58, 27/03/2023 [^] [^^] [^^^] [ответить]
| +/– |
> но используется только для одной программы - sudo
Если ты не в курсе, что chromium устанавливает setuid бинарь. И много кто ещё, тот же firejail к примеру или xorg.
| |
|
|
|
2.42, Аноним (41), 20:32, 24/03/2023 [^] [^^] [^^^] [ответить]
| +/– |
У тебя на OpenWRT есть пользователи, которые могут монтировать файловые системы.
| |
|
1.47, Аноним (47), 03:14, 25/03/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>принадлежащий пользователю root исполняемый файл с флагами setuid/setgid, доступным всем пользователям на запись
Чего вы все привязались к setuid/setgid? Есть ли идиоты, у которых в системе исполняеме файлы "доступные всем пользователям на запись"?
| |
|
2.48, Аноним (48), 06:06, 25/03/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Идея в том, чтобы создать образ ФС с такими файлами на другой машине, где есть root, а потом скопировать на другую, примонтировать его через FUSE и дальше по инструкции в новости.
| |
|
|