Autor Thema: Support für grsecurity  (Gelesen 1638 mal)

hardfalcon

  • Newbie
  • *
  • Beiträge: 4
    • Profil anzeigen
Support für grsecurity
« am: September 30, 2014, 07:10:44 Vormittag »
Leider funktioniert der Sundtek-Treiber auf grsecurity-Kerneln nur, wenn man mit
# sysctl kernel.grsecurity.harden_ipc=0das grsec-Feature "Disallow access to overly-permissive IPC objects" abschaltet. Hintergrund scheint zu sein, dass der Sundtek-Treiber Semaphores mit den Zugriffsrechten 666 bzw. 777 benutzt.

Auch wenn ich gut verstehen kann, dass so "offenherzige" Zugriffsrechte benutzt werden, um das Supportaufkommen in halbwegs erträglichen Bahnen zu halten - IMHO wäre es (nicht nur für grsec-Nutzer) wünschenswert, wenn man optional in /etc/sundtek.conf eine Gruppe einstellen könnte, in deren Kontext der Sundtek-Treiber ausgeführt wird, und in der man Mitglied sein muss, um auf den Sundtek-Treiber zugreifen zu können (d.h. Zugriffsrechte von 660 und 770 für die oben genannten Semaphores). Euer Treiber ist closed source und läuft als root - d.h. ich kann selber nicht mit vertretbarem Aufwand rausfinden, ob euer Treiber für mein System ein Sicherheitsrisiko (Stichwort "privilege escalation") darstellt. Vor diesem Hintergrund würde es mich zumindest ein bisschen ruhiger schlafen lassen, wenn ich den Zugriff auf den Treiber auf eine bestimmmte Benutzergruppe einschränken könnte.

Falls ihr dieses Feature implementiert, sollte der "nicht-root"-Teil des Treibers natürlich die o.g. Config-Option ebenfalls auswerten und benutzen, um ggf. die korrekte Benutzergruppe auszuwählen (Szenario: der Benutzer hat als primäre Gruppe "users", und "sundtek" ist nur eine der sekundären Gruppen des Accounts).

Ansonsten: Danke für den tollen Support auch auf etwas exotischeren Plattformen! :-)