<p dir="ltr"><br>
On Apr 20, 2015 8:22 AM, "Lennart Poettering" <<a href="mailto:lennart@poettering.net">lennart@poettering.net</a>> wrote:<br>
><br>
> On Mon, 20.04.15 08:08, Andy Lutomirski (<a href="mailto:luto@amacapital.net">luto@amacapital.net</a>) wrote:<br>
><br>
> > On Apr 20, 2015 7:57 AM, "Lennart Poettering" <<a href="mailto:lennart@poettering.net">lennart@poettering.net</a>><br>
> > wrote:<br>
> > ><br>
> > > On Fri, 17.04.15 09:14, Andy Lutomirski (<a href="mailto:luto@amacapital.net">luto@amacapital.net</a>) wrote:<br>
> > ><br>
> > > > My point here is that there's no real shortage of downsides to this<br>
> > > > scheme, and there still appears to be little to no benefit.<br>
> > ><br>
> > > Well, let's turn this around. You seem to really dislike caps. And you<br>
> > > vaguely claim security holes, which we have shown know don't<br>
> > > exist. So, now, can you clearly explain why precisely you dislike them<br>
> > > so much still?  And something more technical then "systemd shouldn't<br>
> > > use them" or "i don't like them", or "they should only be used in the<br>
> > > kernel", because these are not technical reasons, they are just claims<br>
> > > of personal taste.<br>
> > ><br>
> > > I will grant you that they aren't particularly expressive, and I will<br>
> > > grant you that one day there might be better concepts. But that's not<br>
> > > a strong reason not to support them really, that's just a reason to<br>
> > > later add support for something better.<br>
> ><br>
> > Technical reasons:<br>
> ><br>
> > 1. They can't be usefully delegated to a namespace.<br>
><br>
> Not sure I can parse that. If you use the bus to communicate across<br>
> namespace boundaries then each side lacks caps for the other. Great,<br>
> that's how it should be. And same as for uid checks btw... if a uid<br>
> cannot be translated, then it will not be passed!</p>
<p dir="ltr">No.   You're right for nspawn-style namespaces, but not for namespaces more broadly.  Namespaces are a great way to drop various privileges, but your use of caps prevents certain uses (e.g. confining your hypothetical time-setting daemon in a namespace).</p>
<p dir="ltr">><br>
> > 2. The set of caps that exist is controlled by the kernel, whereas the set<br>
> > of dbus methods is large and controlled by userspace.  Caps can't scale to<br>
> > accommodate flexble userspace policies.<br>
><br>
> OK, they are not very expressive, I granted you that already. But they<br>
> are still more expressive than "uid == 0".<br>
><br>
> That they are not expressive is something I can agree with, as<br>
> mentioned above, but I don't consider this a real issue not to using<br>
> them. I mean, it would be great if we had something better in the<br>
> kernel, like capsicum or whatever, but we don't. And since caps are<br>
> pretty well supported otherwise on Linux, and they are better then<br>
> simple uid == 0 checks, I think they should be supported by kdbus too.</p>
<p dir="ltr">This is a bad excuse.  Given that you're designing something new, you have plenty of room to do better.</p>
<p dir="ltr">><br>
> > 3. They don't appear to add value, and avoiding unnecessary complexity is<br>
> > good.<br>
><br>
> Well, I disagree on this. I think they are better because more<br>
> fine-grained than "uid == 0" checks.<br>
><br>
> > 4. They suck.  This is a technical issue -- the kernel doesn't allow<br>
> > flexible assignments of caps to processes.  This is a problem for kernel<br>
> > API users and it will be a problem for you.<br>
><br>
> Not a technical reason, unlike you claim. Just a personal taste issue.</p>
<p dir="ltr">Sure it is.  Caps are defined in the kernel sources and, as seems to have been covered pretty well in this thread, the list of caps is very far from what a userspace dbus service would want to check.</p>
<p dir="ltr">--Andy</p>
<p dir="ltr">><br>
> Honestly, I don't think the issues you raise are very convincing....<br>
><br>
> Lennart<br>
><br>
> --<br>
> Lennart Poettering, Red Hat<br>
</p>