Fedora на пути полного ухода от использования suid-программ в дистрибутиве

На очередном совещании управляющего совета проекта Fedora была одобрена идея полного избавления дистрибутива от приложений с установленным флагом смены пользовательского идентификатора (suid), что значительно повысит безопасность системы (например, делает невозможным эксплуатацию уязвимости в glibc). Реализовать намеченное в жизнь планируется в релизе Fedora 15.

Вместо установки suid-бита, для программ, требующих повышенных прав доступа, будут применены "capabilities", позволяющие выборочно организовать выполнение только требуемых привилегированных действий. Например, утилита ping получит возможность доступа только к raw-сокету (CAP_NET_RAW), без делегирования остальных root-прав. Для привязки capabilities к исполняемому файлу используется утилита setcap из пакета libcap2-bin, например для утилиты ping установку необходимых прав можно произвести командой "setcap cap_net_raw+ep /bin/ping".

В настоящее время для 11 пакетов уже осуществлен уход от setuid root, для 24 пакетов изменения находятся в процессе обработки. Немодифицированными будут оставлены только пакеты su, sudo, ksu и userhelper, по своей сути предназначенные для предоставления полных прав суперпользователя.




Вас также может заинтересовать:

Фрилансеру: пути решения проблем удаленной работы
Бесплатное ПО: преимущества и сфера использования
Настройка и варианты использования OpenVPN
Выпуск Fedora 18 отложен в пятый раз. В Fedora 19 место rsyslogd может занять Systemd Journal
Команда Ubuntu Touch надеется представить пререлизы своей ОС, пригодные для ежедневного использования, к концу мая
Вышел Fedora 14 GNU/Linux