home.social
Sign in Create account

#setuid — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #setuid, aggregated by home.social.

  1. boredsquirrel @[email protected] ·

    While #NixOS should not be affected by #CopyFail as it uses recent kernels, here are additional fixes you can apply:

    Disabling setuid does not mitigate it, but reduces the attack surfaces overall significantly.

    Instead of #sudo, #su, #pkexec and other #setuid binaries you can use #run0 or a dedicated root account.

    I have disabled setuid for a bunch of binaries I don't need, they still work when ran as root, with run0 or #sudo-rs.

    ```nix
    boot.blacklistedKernelModules = [
    "algif_aead"
    ];

    security.sudo.enable = false;

    security.wrappers = {
    su.enable = false;
    pkexec.enable = false;

    # example setuid binary
    chsh = {
    source = "${pkgs.shadow}/bin/chsh";
    setuid = lib.mkForce false;
    owner = "root";
    group = "root";
    };
    };
    ```

    #nixos #copyfail #sudo #su #pkexec #setuid
  2. boredsquirrel @[email protected] ·

    While #NixOS should not be affected by #CopyFail as it uses recent kernels, here are additional fixes you can apply:

    Disabling setuid does not mitigate it, but reduces the attack surfaces overall significantly.

    Instead of #sudo, #su, #pkexec and other #setuid binaries you can use #run0 or a dedicated root account.

    I have disabled setuid for a bunch of binaries I don't need, they still work when ran as root, with run0 or #sudo-rs.

    ```nix
    boot.blacklistedKernelModules = [
    "algif_aead"
    ];

    security.sudo.enable = false;

    security.wrappers = {
    su.enable = false;
    pkexec.enable = false;

    # example setuid binary
    chsh = {
    source = "${pkgs.shadow}/bin/chsh";
    setuid = lib.mkForce false;
    owner = "root";
    group = "root";
    };
    };
    ```

    #nixos #copyfail #sudo #su #pkexec #setuid
  3. boredsquirrel @[email protected] ·

    While #NixOS should not be affected by #CopyFail as it uses recent kernels, here are additional fixes you can apply:

    Disabling setuid does not mitigate it, but reduces the attack surfaces overall significantly.

    Instead of #sudo, #su, #pkexec and other #setuid binaries you can use #run0 or a dedicated root account.

    I have disabled setuid for a bunch of binaries I don't need, they still work when ran as root, with run0 or #sudo-rs.

    ```nix
    boot.blacklistedKernelModules = [
    "algif_aead"
    ];

    security.sudo.enable = false;

    security.wrappers = {
    su.enable = false;
    pkexec.enable = false;

    # example setuid binary
    chsh = {
    source = "${pkgs.shadow}/bin/chsh";
    setuid = lib.mkForce false;
    owner = "root";
    group = "root";
    };
    };
    ```

    #nixos #copyfail #sudo #su #pkexec #setuid
  4. boredsquirrel @[email protected] ·

    While #NixOS should not be affected by #CopyFail as it uses recent kernels, here are additional fixes you can apply:

    Disabling setuid does not mitigate it, but reduces the attack surfaces overall significantly.

    Instead of #sudo, #su, #pkexec and other #setuid binaries you can use #run0 or a dedicated root account.

    I have disabled setuid for a bunch of binaries I don't need, they still work when ran as root, with run0 or #sudo-rs.

    ```nix
    boot.blacklistedKernelModules = [
    "algif_aead"
    ];

    security.sudo.enable = false;

    security.wrappers = {
    su.enable = false;
    pkexec.enable = false;

    # example setuid binary
    chsh = {
    source = "${pkgs.shadow}/bin/chsh";
    setuid = lib.mkForce false;
    owner = "root";
    group = "root";
    };
    };
    ```

    #run0 #setuid #pkexec #su #sudo #copyfail
  5. boredsquirrel @[email protected] ·

    While #NixOS should not be affected by #CopyFail as it uses recent kernels, here are additional fixes you can apply:

    Disabling setuid does not mitigate it, but reduces the attack surfaces overall significantly.

    Instead of #sudo, #su, #pkexec and other #setuid binaries you can use #run0 or a dedicated root account.

    I have disabled setuid for a bunch of binaries I don't need, they still work when ran as root, with run0 or #sudo-rs.

    ```nix
    boot.blacklistedKernelModules = [
    "algif_aead"
    ];

    security.sudo.enable = false;

    security.wrappers = {
    su.enable = false;
    pkexec.enable = false;

    # example setuid binary
    chsh = {
    source = "${pkgs.shadow}/bin/chsh";
    setuid = lib.mkForce false;
    owner = "root";
    group = "root";
    };
    };
    ```

    #nixos #copyfail #sudo #su #pkexec #setuid
  6. Habr @[email protected] ·

    [Перевод] Перестаньте переживать об allowPrivilegeEscalation

    Многие инженеры теряются в нюансах настройки allowPrivilegeEscalation в Kubernetes. Автор статьи простым языком объясняет, зачем нужен этот флаг, как он работает и почему его наличие или отсутствие не критично для большинства сценариев. Если хотите понять, как устроена безопасность контейнеров, — эта статья для вас.

    habr.com/ru/companies/flant/ar

    #allowPrivilegeEscalation #поды #kubernetes #security_contexts #контексты_безопасности #setuid #setreuid #привилегированный_контейнер #безопасность_контейнеров

    #безопасность_контейнеров #привилегированный_контейнер #setreuid #setuid #контексты_безопасности #security_contexts
  7. Habr @[email protected] ·

    [Перевод] Перестаньте переживать об allowPrivilegeEscalation

    Многие инженеры теряются в нюансах настройки allowPrivilegeEscalation в Kubernetes. Автор статьи простым языком объясняет, зачем нужен этот флаг, как он работает и почему его наличие или отсутствие не критично для большинства сценариев. Если хотите понять, как устроена безопасность контейнеров, — эта статья для вас.

    habr.com/ru/companies/flant/ar

    #allowPrivilegeEscalation #поды #kubernetes #security_contexts #контексты_безопасности #setuid #setreuid #привилегированный_контейнер #безопасность_контейнеров

    #безопасность_контейнеров #привилегированный_контейнер #setreuid #setuid #контексты_безопасности #security_contexts
  8. Habr @[email protected] ·

    [Перевод] Перестаньте переживать об allowPrivilegeEscalation

    Многие инженеры теряются в нюансах настройки allowPrivilegeEscalation в Kubernetes. Автор статьи простым языком объясняет, зачем нужен этот флаг, как он работает и почему его наличие или отсутствие не критично для большинства сценариев. Если хотите понять, как устроена безопасность контейнеров, — эта статья для вас.

    habr.com/ru/companies/flant/ar

    #allowPrivilegeEscalation #поды #kubernetes #security_contexts #контексты_безопасности #setuid #setreuid #привилегированный_контейнер #безопасность_контейнеров

    #безопасность_контейнеров #привилегированный_контейнер #setreuid #setuid #контексты_безопасности #security_contexts
  9. Habr @[email protected] ·

    [Перевод] Перестаньте переживать об allowPrivilegeEscalation

    Многие инженеры теряются в нюансах настройки allowPrivilegeEscalation в Kubernetes. Автор статьи простым языком объясняет, зачем нужен этот флаг, как он работает и почему его наличие или отсутствие не критично для большинства сценариев. Если хотите понять, как устроена безопасность контейнеров, — эта статья для вас.

    habr.com/ru/companies/flant/ar

    #allowPrivilegeEscalation #поды #kubernetes #security_contexts #контексты_безопасности #setuid #setreuid #привилегированный_контейнер #безопасность_контейнеров

    #allowprivilegeescalation #поды #kubernetes #security_contexts #контексты_безопасности #setuid
  10. Khurram Wadee ✅ @[email protected] ·

    I could also mount the encrypted partitions on the #HardDrive and to recreate the symbolic link which I’d deleted. Luckily this allowed my original system to start #Booting again. However, something was still wrong with sudo but looking it up, there was ample help online about what was wrong: the #program has to be #setuid 0 and so once I was able to do that I recovered the system. Phew.

    #GNU #Linux #ShaggyDogStory

    #harddrive #booting #program #setuid #gnu #linux