capabilities (скажи нет suid)

[seleko]

opennet
кто что думает про это?

[Poor Fred]

opennet
кто что думает про это?

Думаю, что если ты хочешь мнения по какому-то поводу, то потрудись выложить статью сюда, или хотя бы краткую выжимку из нее.

[Goodvin]

Тема переезжает в разговорный раздел.

[eddy]

opennet
кто что думает про это?

Лично мне не нужно.

[seleko]

opennet
кто что думает про это?

Лично мне не нужно.

А какая аргументация? Ведь можно сказать что всё движется в сторону RBAC... а с capabilities это будет вроде проще осуществить.

[eddy]

А какая аргументация?

suid/sgid/sudo/su хватает за глаза.

[taaroa]

Ведь можно сказать что всё движется в сторону RBAC

О которой из реализаций RBAC идет речь?

... а с capabilities это будет вроде проще осуществить.

Всё как раз наоборот, с помощью RBAC "проще" управлять capabilities.
И ещё раз: не всё существующее ныне ПО написано с учётом этих самых CAP_*.

[taaroa]

А какая аргументация?

Аргументация в моём предыдущем сообщении.

see also
tcb(5)

[/dev/random]

О которой из реализаций RBAC идет речь?

Полагаю, речь идёт об _идее_ RBAC, а не о реализации.

[seleko]

А какая аргументация?

Аргументация в моём предыдущем сообщении.

see also
tcb(5)

tcb это как-то однобоко

[taaroa]

А какая аргументация?

Аргументация в моём предыдущем сообщении.

see also
tcb(5)

tcb это как-то однобоко

В сравнении с чем однобоко, для как задач оно однобоко?
Напоминаю, что предмет темы setuid-бит.
Вы _уже_ испытали в деле AppArmor, SELinux, Yama, Tomoyo, grsecurity и пришли к подобному заключению, правильно понимаю?

Аргумент против подобного подхода (замены SUID на CAP_*), весомый аргумент от умного дяденьки.

[NekoExMachina]

Я вот не понимаю при этом.
В чём проблема suid-то?
Если capabilities ну точно так же дают (или не точно так же, но дают) права root исполняемой программе.

[seleko]

AppArmor только испытал...

capabilities так понимаю не дают никакого рута, а дают непосредственно доступ к нужным функциям.

[/dev/random]

capabilities так понимаю не дают никакого рута, а дают непосредственно доступ к нужным функциям.

capabilities дают _часть_ рутовых привилегий. Это лучше с той точки зрения, что злоумышленник, прорвавшись в процесс, получит не все права. Но это совершенно не защищает от главной проблемы SUID - процесс с более высокими привилегиями наследует окружение, файловое пространство и прочие параметры, среди которых могут быть опасные, от процесса с менее высокими привилегиями. Кроме того, программы уже умеют сбрасывать рута, когда он перестаёт быть им нужен, а вот сбрасывать capabilities их нужно ещё научить.

[seleko]

capabilities так понимаю не дают никакого рута, а дают непосредственно доступ к нужным функциям.

capabilities дают _часть_ рутовых привилегий. Это лучше с той точки зрения, что злоумышленник, прорвавшись в процесс, получит не все права. Но это совершенно не защищает от главной проблемы SUID - процесс с более высокими привилегиями наследует окружение, файловое пространство и прочие параметры, среди которых могут быть опасные, от процесса с менее высокими привилегиями. Кроме того, программы уже умеют сбрасывать рута, когда он перестаёт быть им нужен, а вот сбрасывать capabilities их нужно ещё научить.

Часть прав -- да, в этом плюс, что они не нафигачат что попало вокруг.

файловое пространство и прочие параметры, среди которых могут быть опасные -- мне кажется здесь будет зависить многое от того как организацонно будут эти права раздаваться, чтобы не получилось так, что это тупо станет аналогом рута.

сбрасывать capabilities -- мне кажется научат

ну собссно я для себя выводы сделал определённые. Всем спасибо.