Technická komise, která činí konečná rozhodnutí o kontroverzních technických otázkách v projektu Debian, schválil změnu balíčku systemd, která mění chování adresáře /var/lock. Správce systému systemd, počínaje verzí 258, omezil zápis do adresáře /var/lock na uživatele root, zatímco technický výbor Debian schváleno zachování starého chování, které umožňovalo libovolnému uživateli zapisovat do /var/lock.
Pravidla projektu Debian předepsat zachování původního chování aplikací (nastavení nastavená v upstreamu) při generování balíčků. Zavést specifická nastavení do balíčků Debian Změny, které obcházejí pravidla projektu, vyžadují zvláštní povolení technické komise.
V případě systemd výbor podpořil návrh neimplementovat změnu, která mění oprávnění adresáře /var/lock za účelem zvýšení bezpečnosti, protože veřejně zapisovatelný přístup k adresáři /var/lock je zmíněn ve specifikaci Filesystem Hierarchy Standard (FHS) a je nezbytný pro další provoz některých stávajících programů. Například aplikace sériového portu, jako jsou uucp, minicom, mgetty+sendfax a hylafax, používají adresář /var/lock k omezení přístupu k zařízením /dev/ttyS* vytvořením souborů zámků.
Vývojáři systemd vysvětlují potřebu omezit přístup k adresáři /var/lock jako ochranu před útoky DoS. Adresář /var/lock je symbolický odkaz na adresář /run/lock. Oddíl obsahující adresář /run je obvykle připojen samostatně pomocí tmpfs a možnost zapisovat do něj bez povolení lze využít k zaplnění oddílu a blokování vytváření nových souborů v hierarchii /run.
Aby se zabránilo podobným útokům za neomezeného přístupu, k němuž dříve docházelo v Debian Byla použita záplata, která připojovala /run/lock na samostatný, malý oddíl tmpfs. Loni byla tato záplata nahrazena jednotkou run-lock.mount a letos v létě byla tato jednotka odstraněna, načež se /run/lock ocitl na oddílu /run. V komentářích k rozhodnutí technické komise bývalý správce systemd doporučil tuto změnu mít na paměti a vrátit se k samostatnému připojování /run/lock a v dlouhodobém horizontu přepnout všechny aplikace, které se spoléhají na /run/lock, na zámky typu flock.
Zdroj: opennet.ru
