Глобальный запрет на setuid

nosuid опция монтирования? Только / монтируется рано. Так что зависит от initramfs, наверняка. И так нужные тоже запретишь, если есть.

Можно, наверно, пойти по другому пути - системы управления доступом, типа selinux.

nosuid сломал sudo) Похоже просто так оключить suid не получится…

selinux очень навороченная система. Я начинал читать книгу по ней, и честно говоря увяз на первой сотне страниц. И я все больше прихожу к выводу о том, что если не уверен в добросовестности софта, запускай его на виртуалке…

Неправильный софт можно запускать в LXC контейнерах с пробросом иксов и всего необходимого.

У меня так Steam в генте работает, чтобы не собирать multilib и кучу зависимостей.

Интересно. А можно чуть подробнее, на какие исполняемые файлы он ставит setuid и как это делает? Запускается ведь он не от root'а? Значит при установке?

Skype требует SUID root?

Да тут вопрос не только в скайпе, сколько в принципе о подобном недобросовестном софте. А скайп это просто генеральной образец такого софта. Работает в стилистике мастдая, лезет туда куда не надо, отправляет запросы сомнительного содержания. Если рассматривать скайп в срезе ИБ то это самый натуральный резидентный троянец. Сейчас нужно поставить zoom, и я вот хожу и думаю, а он лучше себя ведет чем скайп?

Не запускается он, весь gui софт стартует и скайп нет. Как будто понимает что его запустили в контейнере.

А как ты без setuid будешь иксы запускать? O_o

Можно просто скайп поставить внутрь контейнера (файла с ФС, монтируемой с опцией nosiud).

Вот так. В прошлых версиях статьи предлагали использовать правило udev, сейчас предлагают обмазаться elogind.

для чего вообще использовать недоверенный софт?

Фигушки! elogind и прочее Dерьмо я ставить на свои компы не собираюсь. Просто после очередного обновления опять suid-бит пихаю. Вот и все!!

Очень просто, в контейнер монтируется сокет x-сервера и ему назначаются права пользователя внутри контейнера. И у вас есть иксы без suid.

Смысл в том что есть работа. Skype и Zoom сейчас являются дефакто стандартом в организации дистанционных деловых переговоров. Довольно сложно объянснить толпе серьезных дядек и тетек в костюмах что скайп неправильная программа которая ворует данные и следит за пользователями. Поэтому хочешь не хочешь а использовать приходится.

Мне проще после обновления бит поставить! Все равно иксы по умолчанию замаскированы: их с блобом я раз в полгода обновляю.

Skype требует SUID root?

Действительно, у меня то же самое. Вот зараза! Интересно, пользуется ли он этим для чего-то нехорошего...

Сейчас нужно поставить zoom, и я вот хожу и думаю, а он лучше себя ведет чем скайп?

Да, тут контейнер или виртуальную машину.

и следит за пользователями

Есть этому доказательства или только предположения?

Думаешь в мелкософте дураки сидят и не могут сраный мессенжер нормально сделать? Тут доказательства не нужны, это они явно не по неумению сделали.

Думаешь в мелкософте дураки сидят и не могут сраный мессенжер нормально сделать?

То, что там стоит setuid не говорит о том, собирает он какие-то данные или нет. Хотя сам по себе setuid это плохо, я с этим не спорю.

Ну мне достоверно известно о сканировании хомяка, запускали его под мониторингом SE, он активно этим занимался. На виднде он занимается ровно тем же самым и как ответили в мелкософте, эти действия подпадают под соглашение о сборе телеметрии и создании рекламного профиля пользователя. Что касается setuid, это явно не похоже на косяк. Потому что если тебе ну очень нужны права повыше, делается отдельный демон, который использует другие политики безопасности, работает изначально под рутом и цепляется к основному приложению через адрессный разрыв, например через unix сокет, что бы не было возможности при компрометации головного приложения, скомпрометировать все систему в целом. А если ты вешаешь setuid на бинарники основной прилаги которая запускается из под непривелигерованного пользователя, это считай что у тебя нет вообще никаких барьеров защиты, просто у тебя сквозная дыра внутрь системы. Если кто-то или что-то получит доступ к процессу скайпа, оно получит доступ ко всему что у тебя есть на машине.

setuid

Спасибо! Я собственно о сборе информации интересовался. Что плохого в setuid я понимаю.

nosuid сломал sudo

Попробуй поставить на все нужные программы CAP_SYS_ADMIN.

Это не Скайпу, а Electron нужен root или некоторые capabilities, это где-то тут обсуждалось недавно.

up: А, вот в очередной вашей теме и обсуждалось

По теме. Контейнер – не средство изоляцм и обеспечения безопасности. Когда приложение в контейнере – проще политики безопасности писать и назначать один на все контекст безопасности, не разбираясь, как приложение устроено. Т.е. все равно SELinux.

А так – можно найти все файлы с suid, посмотреть, нет ли «лишних». Следить за этим делом с помощью аудитд. Пакетным менеджером не ставить ничего не из официальных реп. Весь левый софт сандбоксить или с помощью SELinux непосредственно, или внутри контейнера(так проще). Безопасность сама себя не обеспечит, короче.