>[оверквотинг удален]
> файлов "для красоты"? Нет, для безопасности это не нужно. Аналогично с
> group. Для отказа от SUID root на команде passwd (и chage)
> достаточно было раскидать shadow.
> С gshadow вопрос сложнее: тем очень немногим, кто знает о возможности поставить
> пароль на группу и этим пользуется, да еще и не от
> root'а, сейчас приходится сначала выполнить команду "control gpasswd wheelonly" или даже
> "control gpasswd public", при этом получив обратно SUID root на программу
> gpasswd. Это плохо. Мы могли бы попытаться это решить раскидав gshadow
> на файлы с администраторами групп в качестве владельцев. Но при этом
> останется вопрос как этими группами потом пользоваться? Всё равно команда newgrp, Да я забыл, вы правы, newgrp может только root, это setcap если без suid.
Что-то тут с группами мутно и это с самого начала unix. Ядро само не читает groups и gshadow. Этот setuid наверное не убрать никогда.
>[оверквотинг удален]
> которую для этого потребовалось бы включить тем же control'ом, потребовала бы
> SUID root для переключения группы, либо патча в ядро, чтобы какие-то
> переключения групп работали с привилегиями, не эквивалентными root'у. Таким образом, мы
> получили бы либо недоделку, либо неоправданно сложную (и поэтому опасную) конструкцию.
> И всё ради возможности о которой мало кто знает и совсем
> мало кто пользуется. К этому можно добавить еще и принципиальные риски,
> связанные с использованием newgrp из-под пользователя. Поэтому мы поступили проще и
> поставляем gpasswd и newgrp доступными только root'у, и control-файлы для тех
> немногих, кто хочет эту возможность включить (на свой риск).
> Так что нет, мы считаем tcb доделанным.