История изменений
Исправление hateyoufeel, (текущая версия) :
и каждый кастомный юнит оно будет проверять
Если ты каждый свой кастомный юнит подпишешь, то да, будет. В идеале это должно быть именно так. Если администратор системы, в которой реально требуется безопасность, запускает там неподписанный код, то он мудак и его надо уволить.
и еще все подряд файлы в /usr/bin
Таки да, весь софт, который установлен в системе, должен быть подписан и проверен. Даже рач лялекс до этого уже дошёл: у них все пакеты подписаны и содержат чексуммы.
Ты же понимаешь что с правами рута в системе можно сделать вообще все что угодно, правда?
Ты же понимаешь, что ни одна софтина в идеале не должна работать с правами рута? Процесс должен иметь ровно столько привилегий, сколько ему требуется для работы, и ни граммом больше. Capabilities, AppArmor/SELinux, pledge()/unveil() и прочие штуки не просто так изобрели.
Исходная версия hateyoufeel, :
и каждый кастомный юнит оно будет проверять
Если ты каждый свой кастомный юнит подпишешь, то да, будет. В идеале это должно быть именно так. Если администратор системы, в которой реально требуется безопасность, запускает там неподписанный код, то он мудак и его надо уволить.
и еще все подряд файлы в /usr/bin
Таки да, весь софт, который установлен в системе, должен быть подписан и проверен. Даже рач лялекс до этого уже дошёл: у них все пакеты подписаны и содержат чексуммы.
Ты же понимаешь что с правами рута в системе можно сделать вообще все что угодно, правда?
Ты же понимаешь, что ни одна софтина в идеале не должна работать с правами рута? Процесс должен иметь ровно столько привелегий, сколько ему требуется для работы, и ни граммом больше. Capabilities, AppArmor/SELinux, pledge()/unveil() и прочие штуки не просто так изобрели.