https://www.opennet.ru/openforum/vsluhforumID3/71880.html На очередном совещании управляющего совета проекта Fedora была одобрена (http://lists.fedoraproject.org/pipermail/devel/2010-October/144765.html) идея полного избавления дистрибутива от приложений с установленным флагом смены пользовательского идентификатора (suid), что значительно повысит безопасность системы. Реализовать намеченное в жизнь планируется (http://fedoraproject.org/wiki/Features/RemoveSETUID) в релизе Fedora 15. <br><br><br>Вместо установки suid-бита, для программ, требующих повышенных прав доступа, будут применены "capabilities", позволяющие организовать выполнение только требуемых привилегированных действий. Например, утилита ping получит возможность доступа только к raw-сокету (CAP_NET_RAWIO), без делегирования полноценных root-прав. В настоящее время для 11 пакетов уже <br>осуществлен (https://bugzilla.redhat.com/show_bug.cgi?id=646440) уход от suid root, для 24 пакетов изменения находятся в процессе обработки.<br><br><br><br>URL: http://lists.fedoraproject.org/pipermail/devel/2010-October/144765.html<br>Новость: https://www.opennet.ru/openforum/vsluhforumID3/71880.html#49 Mon, 26 Dec 2011 20:54:06 GMT &gt;&gt;Не 2 (read), а 4 (write).<br>&gt; ШИТО?<br><br>(наткнувшись) Благодарю, и впрямь переклинило.<br> https://www.opennet.ru/openforum/vsluhforumID3/71880.html#48 Mon, 08 Nov 2010 06:18:56 GMT Я поднял тему на oss-security, таким образом доведя свои соображения/опасения до разработчиков Fedora и Ubuntu:<br><br>http://www.openwall.com/lists/oss-security/2010/11/08/3<br><br>Может быть, это поможет делу.<br> https://www.opennet.ru/openforum/vsluhforumID3/71880.html#47 Mon, 01 Nov 2010 05:33:54 GMT Читайте новость по уязвимостям в glibc - там достаточно наличия в системе любой суидной программы, наличие уязвимости в этой программе не требуется.<br> https://www.opennet.ru/openforum/vsluhforumID3/71880.html#46 Sun, 31 Oct 2010 16:37:53 GMT учите матчасть<br>rwx<br>421<br>Суммируем и получаем цыфирку<br>просба больше не порочить святое имя анонима<br> https://www.opennet.ru/openforum/vsluhforumID3/71880.html#45 Sun, 31 Oct 2010 14:48:14 GMT &gt; А, может, не стоило городить в ядре переключение видеорежимов, а X серверу<br>&gt; вместо SUID дать CAP_SYS_RAWIO ?<br><br>Я смог запустить X сервер c capabilities только с драйвером vesa. Какие capabilities точно не помню но rawio и что-то с доступом к /dev/kmem и т.п. Сами драйвера требуют чего то большего, я уже не стал разбираться....<br><br> https://www.opennet.ru/openforum/vsluhforumID3/71880.html#44 Sun, 31 Oct 2010 08:55:27 GMT Если уязвимость в коде ping, то как вы будете юзать её в sudo? Вот если уявзимость будет в sudo, тогда пожалуйста. Впрочем, сокращение suid'ных файлов ведь уменьшает поле деятельности хакеров, не так ли?<br> https://www.opennet.ru/openforum/vsluhforumID3/71880.html#43 Sun, 31 Oct 2010 08:07:07 GMT А, может, не стоило городить в ядре переключение видеорежимов, а X серверу вместо SUID дать CAP_SYS_RAWIO ?<br> https://www.opennet.ru/openforum/vsluhforumID3/71880.html#42 Sun, 31 Oct 2010 07:34:04 GMT потому что до 2.6.24 на это выделялся ровно один unsigned int (32bit) - позже сделали больше их, но все равно расширенными фик кто пользуется..<br><br>в этом отношении более оптимально поступили в FreeBSD - когда rwatson@ закомитил свой аналог capabilites - их сразу было больше 30 и они более равномерно покрывали возможности супер пользователя.<br> https://www.opennet.ru/openforum/vsluhforumID3/71880.html#41 Sun, 31 Oct 2010 00:58:28 GMT Читайте пропатченный копипаст этой же новости на ЛОРе, там намного правдоподобнее получилось, это я вам гарантирую ;)<br>