Как отключить считыватель отпечатков пальцев?
Команда Ping переместилась с setuid root на setcap net_admin. Переход с setuid root на setcap снижает риски, если программа будет вести себя непреднамеренно. Но это тот же базовый механизм, :процесс получает дополнительные привилегии на основе метаданных в исполняемом файле, из которого он создан. Концепция не устарела, она совершенствуется.
Это не новое явление. :Существует давняя тенденция к уменьшению количества привилегий, предоставляемых программам. Двадцать лет назад исполняемые файлы, установленные для пользователя, отличного от root, были обычным явлением, но (без каких-либо изменений в модели разрешений ОС )они практически исчезли. В настоящее время исполняемые файлы, которым требуется разрешение на доступ к дополнительным файлам, имеют setgid, а не setuid, так что в случае их взлома злоумышленник получает не больше привилегий, чем имеет программа. Опасность исполняемого файла setuid заключается в том, что в случае его компрометации злоумышленник может заменить содержимое исполняемого файла трояном, который скомпрометирует учетную запись любого, кто запускает программу.
Также существует давняя тенденция не создавать программы с setuid или setgid, а предоставлять пользователям разрешение на их выполнение через sudo.Преимущество Sudo заключается в более точном -детальном контроле (над тем, кто может выполнять программу и какие аргументы могут быть переданы в программу ), более простом развертывании в сети (простом развертывании файла конфигурации /etc/sudoers, вместо того, чтобы заботиться о разрешениях при установке, обновлении и развертывании программы )и ведении журнала.
Для монтирования разделов необходимо установить права root¹, чтобы пользователи, не -привилегированные, могли монтировать разделы. Его действительно можно заменить другими программами, такими как pmount(, которая сама должна иметь setuid root )или механизм на основе службы -, такой как udisks.
На самом деле есть только две программы, которые абсолютно точно должны иметь setuid root:suи sudo. (И любая другая подобная программа. )Поскольку они должны иметь возможность предоставлять любые привилегии, они должны иметь наивысшие привилегии в системе.
SSH не может полностью заменить su и sudo. SSH можно использовать как механизм повышения привилегий, но он подходит не для всех обстоятельств. Все в сеансе SSH проходит через туннель. Это не всегда желательно :вы не можете передавать файловые дескрипторы или разделяемую память через канал SSH, происходит потеря производительности (SSH шифрует данные, даже при локальном общении ). Кроме того, SSH бесполезен для системного администратора, который хочет восстановить систему в случае сбоя или неправильной настройки демона SSH.
¹ или setcap sys_admin, но нет никакой реальной разницы между тем, что вы root, и тем, что вы можете делать косвенно с привилегией sys_admin— например, монтировать раздел с двоичным файлом setuid root или монтировать что-то поверх /etc. или /bin.
Похоже, у вас почти такой же случай, как у моего XPS 15.
Создайте файл /etc/udev/rules.d/fingerprint.rulesи поместите туда следующий текст:
# Disable fingerprint reader
SUBSYSTEM=="usb", ATTRS{idVendor}=="27c6", ATTRS{idProduct}=="5385", ATTR{authorized}="0"
Это отключает использование USB-устройства с указанными выше идентификаторами производителя и продукта. Изменения должны быть использованы udev после перезагрузки.
Если вы никогда не используете его, посмотрите, позволяют ли настройки BIOS ноутбука полностью отключить его.