SGID games (Re: SPECS: duke3d.spec (HEAD))

Jacek Konieczny jajcus w bnet.pl
Wto, 8 Kwi 2003, 09:13:26 CEST


On Mon, Apr 07, 2003 at 08:03:04PM +0200, Tomasz Kłoczko wrote:
> Pomysł jaki rzuciłem w trakcie rozmowy telefonicznej może nie jest 
> za bardzo wyszukany i dopracowany (a na pewno ma słabe punkty bo 
> część udało się juz wyłuskać w trakcie tejże rozmowy) miałby polegać na 
> utworzeniu serwisu czy to pracujacego via unix sockets czy po tcp który 
> służyłby do przechowywania danych typu score list czy rzeczy tupu stan 
> gry.
I będziesz portował kilkadziesiąt pakietów do tego systemu? To będzie
czyste marnotrastwo czasu.

> W sumie rozwiązanie ogólne zalecane jest mniejwięcej takie żeby unikać 
> sgid games czy inne na binarkach całych priogramłó i wydzielać tylko małe 
> programy które pośredniczyć bęa w wykonywaniu konkretnych operacji na 
> uwspólnionych zasobach. 
W sgid nie widzę niczego złego, jeśli jest prawidłowo używane 
(a w przypadku gier jest to IMHO prawidłowe). W końcu po coś taki
mechanizm powstał.

Jeśli chodzi o ograniczenie dostępu do gier niektórym użytkownikiem, to
chyba najlepiej można to zrobić przez SELinux. Na pingwinariach był
wykład na ten temat i uważam że jest to coś co warto by było mieć w PLD.
Może w większości systemu jest to niepotrzebne, ale tam gdzie potrzeba
dokładnej kontroli nad poczynaniami użytkowników i usług to wydaje się
być bardzo dobre rozwiązanie. I znacznie bardziej przejrzyste
i łatwiejsze w obsłudze niż jakieś ACLe (dla każdej gry trzebaby
ustawiać osobno), czy dziwne featury grsecurity.

Największym problemem z SELinux byłoby powiązanie polityki
bezpieczeństwa tego systemu z systemem pakietów, ale IMHO nie powinno to
być dużym problemem.

Pozdrowienia,
	Jacek



Więcej informacji o liście dyskusyjnej pld-devel-pl