SUID & /var (/var/tmp)

[gtlinuxman]

Согласно нормам безопасности в Linux /var следует монтировать с параметрами

Код: Выделить всё

/dev/hdaX               /var            reiserfs        noatime,noexec,nosuid,nodev    0 2

но в Gentoo Security Handbook приведено следующее

Код: Выделить всё

/dev/sda5 /var reiserfs notail,noatime,nodev 0 0

это мотивируется так

Note: I do not set /var to noexec or nosuid, even if files normally are never executed from this mount point. The reason for this is that qmail is installed in /var/qmail and must be allowed to execute and access one SUID file...

Note: Even if you do not use qmail, Gentoo still needs the executable bit set on /var/tmp since ebuilds are made here. But an alternative path can be setup if you insist on having /var mounted in noexec mode.

Я не пользуюсь qmail, /var/tmp в разделе /var.

Вопрос, необходимо ли в моём случае оставлять /var c SUİD битом, или же, следуя общему правилу запретить SUİD бит

Код: Выделить всё

/dev/hdaX               /var            reiserfs        noatime,nosuid,nodev    0 2

???

То есть вопрос сводится к тому, что необходимо ли разрешать SUİD бит для /var/tmp , или и без него сборка и установка ебилдов будет проходить нормально?

[serzh-z]

То есть вопрос сводится к тому, что необходимо ли разрешать SUİD бит для /var/tmp , или и без него сборка и установка ебилдов будет проходить нормально?

Не будет нормально - скрипты ./configure, например, не будут выполняться в /var/tmp/portage

[KiWi]

Не заморачивайте голову -- ваша десктопа никому не нужна.

[serzh-z]

Не заморачивайте голову -- ваша десктопа никому не нужна.

Откуда ты знаешь - может человек в МИДе работает.

[gtlinuxman]

Не будет нормально - скрипты ./configure, например, не будут выполняться в /var/tmp/portage

хммм... но разве эти скрипты не запускаются с правами рута как дочерние процессы от процессов рута?

Откуда ты знаешь - может человек в МИДе работает.

Нет, в МИДе я не работаю, просто изучаю меры информационной безопасности для дальнейшей работы.
serzh-z, искренне благодарю за помощь и понимание.

Не заморачивайте голову -- ваша десктопа никому не нужна.

угу, вы это себе лучше вдалбливайте, повторяйте как мантру "Не заморачивай голову -- моя десктопа никому не нужна", авось действительно пронесёт.

[KiWi]

Не заморачивайте голову -- ваша десктопа никому не нужна.

угу, вы это себе лучше вдалбливайте, повторяйте как мантру "Не заморачивай голову -- моя десктопа никому не нужна", авось действительно пронесёт.

На самом деле, самые параноики(для незнающих -- OpenBSD'шники) делают приблизительно вот так:

Код: Выделить всё

/dev/wd2a on / type ffs (local)
/dev/wd2m on /altroot type ffs (local, nodev, nosuid)
/dev/wd2l on /home type ffs (local, nodev, nosuid)
/dev/wd2k on /opt/ircd type ffs (local, nodev, nosuid)
/dev/wd2d on /tmp type ffs (local, nodev, nosuid)
/dev/wd2e on /usr type ffs (local, nodev)
/dev/wd2f on /usr/src type ffs (local, nodev, nosuid)
/dev/wd2g on /var type ffs (local, nodev, nosuid)
/dev/wd2h on /var/log type ffs (local, nodev, nosuid)
/dev/wd2i on /var/mysql type ffs (local, nodev, nosuid)
/dev/wd2j on /var/www type ffs (local, nodev, nosuid)
/dev/wd0a on /home/ftp/archive01 type ffs (local, nodev, noexec, nosuid)
/dev/wd4f on /home/ftp/archive03 type ffs (local, nodev, noexec, nosuid)
/dev/wd3a on /home/ftp/archive04 type ffs (local, nodev, noexec, nosuid)

А мне ничего вдалбливать в голову не надо, это вас может "авось" пронести, а я вполне спокоен за ВСЁ, что у меня есть на компе.

[steepz]

То есть вопрос сводится к тому, что необходимо ли разрешать SUİD бит для /var/tmp , или и без него сборка и установка ебилдов будет проходить нормально?

↑

а почему нет? все будет нормально.

[gtlinuxman]

На самом деле, самые параноики(для незнающих -- OpenBSD'шники) делают приблизительно вот так...

Во первых, спасибо за помощь, я очень рад и благодарен
Во вторых они не параноики ,просто,
в втретьих, это соответствует нормам безопасности.
В четвертых, у меня приблизительно тоже самое.

а я вполне спокоен за ВСЁ, что у меня есть на компе.

Чтож, я только рад за вас, если это действительно так, надеюсь, мои ответы не показались вам грубыми?

а почему нет? все будет нормально.

Понимаешь, "а почему нет?" не раскрывает подробнестей хода твоих мыслей, пожалуйста, можно пару слов как ты пришёл к выводу, что всё будет нормально?
Конечно, невежественно спрашивать возможно ли сделать что-либо, когда можно это тут-же проверить.
Но, дело в том, что когда я пущу систему на пересборку, то я не смогу некоторое время общаться по сети, и поэтому хотел бы быть уверен как в будущей безопасности системы, так и в её стабильности во время сборки. Спасибо тебе за ответ

[serzh-z]

хммм... но разве эти скрипты не запускаются с правами рута как дочерние процессы от процессов рута?

Гм, сорри - имел в виду, что не будут запускаться, если монтировать с noexec.

[KiWi]

Кстати, вы поищите

Код: Выделить всё

find /var/ -perm -04000 -o -perm -02000

[gtlinuxman]

IFL, благодарю за подсказку.
Вот, что получается.

Код: Выделить всё

find /var/ -perm -04000

выдал только /var/tmp/portage/xorg-x11-6.8.2-r3/image/usr/bin/Xorg.

Код: Выделить всё

find /var/ -perm -02000

Выдало множество директорий (с SGID-битом) вида

Код: Выделить всё

drwxrwsr-x 2 root portage 4648 Июн 30 14:32 /var/cache/edb/dep/usr/portage/games-arcade
drwxrws--- 2 portage portage 112 Июн 10 23:34 /var/tmp/portage/gaim-snpp-0.8.0/temp
drwx--S--- 2 portage portage 48 Июн 26 13:00 /var/tmp/portage/filelight-1.0_beta6/temp/fakehome/.kde/share/config
drwxr-sr-x 3 portage portage 72 Июн 26 13:00 /var/tmp/portage/filelight-1.0_beta6/temp/fakehome/.kde
drwxr-sr-x 18 root portage 456 Мар 12 07:35 /var/tmp/ccache/7
drwxr-sr-x 2 root portage 12408 Июн 24 20:05 /var/tmp/ccache/2/0

кроме того так-же есть вот эти директории

Код: Выделить всё

drwxrwsrwx 2 root cdrom 48 Мар 20 17:55 /var/lib/cdcat
drwxrwsr-x 2 root games 48 Мар 10 16:58 /var/lib/games

Следовательно, если сборка и компиляция идёт под рутом (то есть без FEATURES="userpriv"), то всё должно вроде бы быть нормально.
Если же при компилировании переключаться с рута на юзера (FEATURES="userpriv"), то наверно могут быть проблемы.

---
ЗЫ. тут ещё один вопросик появился, не пинайте сильно, насколько сильно отличается скорость работы с loop-контейнером на харде, по сравнению с работой непосредственно с хардом?

[serzh-z]

ЗЫ. тут ещё один вопросик появился, не пинайте сильно, насколько сильно отличается скорость работы с loop-контейнером на харде, по сравнению с работой непосредственно с хардом?

Как это не удивительно, но надо полагать, что как раз на настолько, сколько времени нужно драйверу loop переправить/получить данные другому драйверу, драйверу ФС например. Не думаю, что на современных системах стоит об этом задумываться - полагаю это не превысит 2-3 процентов процессорного времени.