Un comité técnico que toma las decisiones finales sobre cuestiones técnicas controvertidas en un proyecto. Debian, утвердил внесение изменения в пакет с systemd, меняющего поведение при работе с каталогом /var/lock. Системный менеджер systemd начиная с выпуска 258 ограничил возможность записи в каталог /var/lock только для пользователей с правами root, в то время как технический комитет Debian одобрил оставление старого поведения, разрешающего запись в /var/lock любым пользователям.
Правила проекта Debian предписывают сохранение исходного поведения приложений (настроек, выставленных в upstream) при формировании пакетов. Для внесения в пакеты специфичных для Debian изменений в обход правил проекта, требуется получение специального разрешения от технического комитета.
En el caso de systemd, el comité apoyó la propuesta de no implementar el cambio que modifica los permisos de /var/lock para mejorar la seguridad, ya que el acceso público a dicho directorio se menciona en la especificación del Estándar de Jerarquía del Sistema de Archivos (FHS) y es necesario para el funcionamiento continuo de algunos programas existentes. Por ejemplo, las aplicaciones de puerto serie como uucp, minicom, mgetty+sendfax y hylafax utilizan el directorio /var/lock para restringir el acceso a los dispositivos /dev/ttyS* mediante la creación de archivos de bloqueo.
Los desarrolladores de systemd explican la necesidad de restringir el acceso al directorio /var/lock para protegerse contra ataques DoS. El directorio /var/lock es un enlace simbólico al directorio /run/lock. La partición que contiene el directorio /run suele montarse por separado mediante tmpfs, y la posibilidad de escribir en ella sin permiso permite llenar la partición y bloquear la creación de nuevos archivos en la jerarquía /run.
Чтобы исключить совершение подобных атак при наличии неограниченного доступа ранее в Debian использовался патч, монтирующий /run/lock в отдельном небольшом tmpfs-разделе. В прошлом году данный патч был заменён на юнит run-lock.mount, а этим летом данный юнит удалён, после чего /run/lock оказался в разделе /run. В комментариях к решению технического комитета бывший мэйнтейнер systemd рекоменовал не забывать об отмеченном изменении и вернуться к отдельному монтированию /run/lock, а в долгосрочной перспективе перевести все приложения, завязанные на /run/lock, на блокировки при помощи механизма flock.
Fuente: opennet.ru
