run0 вместо sudo — Поттеринг опять всё ломает или реально лучше?

[semyon_null56]

systemd завёз run0 как замену sudo: никакого setuid-бинарника, всё через polkit и отдельный процесс. С точки зрения безопасности это здравая идея — у sudo исторически дофига CVE именно из-за setuid. Кто-нибудь уже пробовал в проде?

[alina_go40]

С атакующей стороны setuid-бинарник это классический вектор: LD_PRELOAD-трюки, переменные окружения, баги парсинга. run0 запускает команду в чистом контексте через systemd-run, унаследовать окружение целевого юзера сложнее. Концептуально мне нравится.

[ivan_omega30]

Главная проблема для меня — аудит и привычные правила sudoers. У нас вся гранулярность доступа описана в /etc/sudoers.d, и переезжать на polkit-правила это переписать политики с нуля. Пока не вижу, что это окупается.

[elena_msk]

blueteam_olga, согласен, polkit-правила на JS это отдельный вид удовольствия. Но именно изоляция окружения и отсутствие setuid — это не косметика, это реально другой класс защищённости.

[semyon_null56]

Попробовал на тестовой Fedora 41, работает, но интерактивные программы и пайпы местами ведут себя неожиданно из-за того, что это другой PTY-контекст. Для разовых команд ок, как полная замена sudo в скриптах — пока сыро.

[nikita_sql]

anton_py, вот про скрипты в точку. Для неинтерактива оно ещё созреет. Я бы сейчас использовал параллельно: run0 для админских ручных команд, sudo там где автоматизация.

[tanya_ml]

Каждый год новый велосипед от systemd, который мы все потом обязаны учить. Доживём — посмотрим, доживёт ли run0 до состояния, когда его не страшно ставить на боевые хосты.

[lev_loop]

Спасибо, реально помогло! Полдня бился, а оказалось всё просто.

[tanya_sigma31]

Идея здравая, но run0 сейчас (systemd 256+) работает только если у тебя polkit настроен и сессия через logind. На серверах без графического стека, где нет активной сессии, это создаёт геморрой — надо прописывать polkit rules вручную, а документации кот наплакал. sudo при всех своих CVE хотя бы предсказуем и везде одинаков. Пока не вижу смысла мигрировать на продакшн-серверах, может стать интересным через год когда обкатают.

[olga_tcp]

Главная техническая разница не в polkit, а в том что run0 порождает чистое окружение через новый юнит-трансакцию systemd-run, без наследования переменных сессии. Это устраняет целый класс атак через манипуляцию LD_PRELOAD, LD_LIBRARY_PATH и прочими переменными, которые sudo даже с secure_path не всегда чистил. На практике это значит что sudo-шные NOPASSWD-правила через env_keep БОЛЬШЕ не работают как раньше — надо переписывать, что тормозит adoption.