El Comité Técnico, encargado de tomar las decisiones finales sobre cuestiones técnicas controvertidas dentro del proyecto Debian, ha aprobado un cambio en el paquete systemd que modifica el comportamiento del directorio /var/lock. Desde la versión 258, el administrador del sistema systemd ha restringido el acceso de escritura a /var/lock a los usuarios root, mientras que el Comité Técnico de Debian ha aprobado mantener el comportamiento anterior, permitiendo a todos los usuarios escribir en /var/lock.
Las directrices del proyecto Debian exigen que se preserve el comportamiento original de las aplicaciones (configuraciones establecidas en el desarrollador original) al empaquetarlas. Realizar cambios específicos de Debian en los paquetes que infrinjan las directrices del proyecto requiere la autorización especial del comité técnico.
En el caso de systemd, el comité apoyó la propuesta de no implementar el cambio que modifica los permisos de /var/lock para mejorar la seguridad, ya que el acceso público a dicho directorio se menciona en la especificación del Estándar de Jerarquía del Sistema de Archivos (FHS) y es necesario para el funcionamiento continuo de algunos programas existentes. Por ejemplo, las aplicaciones de puerto serie como uucp, minicom, mgetty+sendfax y hylafax utilizan el directorio /var/lock para restringir el acceso a los dispositivos /dev/ttyS* mediante la creación de archivos de bloqueo.
Los desarrolladores de systemd explican la necesidad de restringir el acceso al directorio /var/lock para protegerse contra ataques DoS. El directorio /var/lock es un enlace simbólico al directorio /run/lock. La partición que contiene el directorio /run suele montarse por separado mediante tmpfs, y la posibilidad de escribir en ella sin permiso permite llenar la partición y bloquear la creación de nuevos archivos en la jerarquía /run.
Para evitar que estos ataques se produjeran con acceso sin restricciones, Debian utilizaba previamente un parche que montaba /run/lock en una partición tmpfs pequeña y separada. El año pasado, este parche se sustituyó por la unidad run-lock.mount, y este verano se eliminó, tras lo cual /run/lock pasó a estar en la partición /run. En sus comentarios a la decisión del comité técnico, el antiguo responsable de systemd recomendó tener en cuenta este cambio y volver a un montaje independiente de /run/lock, y a largo plazo, cambiar todas las aplicaciones que dependen de /run/lock a bloqueos Flock.
Fuente: opennet.ru
