<div dir="ltr"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span style="font-family:arial,sans-serif;font-size:12.727272033691406px">I see no point in connection-per-process because Linux by default allows<br>
</span><span style="font-family:arial,sans-serif;font-size:12.727272033691406px">creation of many, many processes per uid.</span></blockquote><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px"><br>
</span></div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px">The per-process limitation would defend against runaway bugs, which are probably a much more likely risk than someone trying to use dbus as a DoS vector when they already have the ability to execute arbitrary code on the system.</span></div>
<div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px"><br></span></div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px">Sincerely,</span></div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px"><br>
</span></div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px">jw</span></div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px"><br></span></div></div><div class="gmail_extra">
<br clear="all"><div><div dir="ltr"><font face="courier new, monospace"><br><br><br><font>Sincerely,</font><br><br><font>Jon Watte</font><br><br><br>--<br>"<span style="color:rgb(0,0,0)">I find that the harder I work, the more luck I seem to have." -- Thomas Jefferson</span></font></div>
</div>
<br><br><div class="gmail_quote">On Wed, Aug 6, 2014 at 8:55 AM, Colin Walters <span dir="ltr"><<a href="mailto:walters@verbum.org" target="_blank">walters@verbum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="">On Wed, Aug 6, 2014, at 10:16 AM, Alban Crequy wrote:<br>
<br>
> With the development of cgroups and systemd, system services and session<br>
> services start in different cgroups. However, cgroups are not a security<br>
> boundary: a process can freely be moved from a cgroup to another cgroup<br>
> by an<br>
> unprivileged user if the user moving the process is the same as the<br>
> destination<br>
> cgroup.<br>
<br>
</div>I think we should be looking at scopes or services, not the topmost<br>
cgroup.  Even if an unprivileged uid was able to migrate within their<br>
login session, they shouldn't be able to escape their login scope.<br>
<br>
I see no point in connection-per-process because Linux by default allows<br>
creation of many, many processes per uid.<br>
<br>
(Yes, with systemd you can LimitNProc= for system services, which can<br>
help significantly if the service is prepared for this, but there's no<br>
realistic equivalent for desktop login sessions)<br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
dbus mailing list<br>
<a href="mailto:dbus@lists.freedesktop.org">dbus@lists.freedesktop.org</a><br>
<a href="http://lists.freedesktop.org/mailman/listinfo/dbus" target="_blank">http://lists.freedesktop.org/mailman/listinfo/dbus</a><br>
</div></div></blockquote></div><br></div>