Fedora на пути полного ухода от использования suid-программ в дистрибутиве
На очередном совещании управляющего совета проекта Fedora была одобрена идея полного избавления дистрибутива от приложений с установленным флагом смены пользовательского идентификатора (suid), что значительно повысит безопасность системы. Реализовать намеченное в жизнь планируется в релизе Fedora 15.Вместо установки suid-бита, для программ, требующих повышенных прав доступа, будут применены "capabilities", позволяющие организовать выполнение только требуемых привилегированных действий. Например, утилита ping получит возможность доступа только к raw-сокету (CAP_NET_RAWIO), без делегирования полноценных root-прав. В настоящее время для 11 пакетов уже осуществлен уход от suid root, для 24 пакетов изменения находятся в процессе обработки.
© OpenNet
