Skip to main content

Отсутствие SUID-SGID файлов и утилит повышения привилегий

Зона ответственности: Printum

Коротко: Контейнерные образы Printum не содержат файлов с установленными битами SUID/SGID и не включают утилиты повышения привилегий, позволяющие получить дополнительные права внутри контейнера.

Требование

Контейнерные образы не должны содержать механизмы, позволяющие повысить привилегии процесса или пользователя внутри контейнера.

Удаление SUID/SGID-файлов и утилит повышения привилегий снижает риск несанкционированного получения дополнительных полномочий при компрометации контейнера.

Как это реализовано в Printum

При сборке производственных контейнерных образов Printum выполняется удаление файлов с установленными битами SUID и SGID.

Аналогичная обработка применяется для основных компонентов системы:

  • Мониторинг;
  • ПринтМенеджер;
  • File Server ПринтМенеджера;
  • CUPS.

Дополнительно из образов удаляются утилиты повышения привилегий, включая su.

Такой подход исключает использование механизмов повышения привилегий через SUID/SGID-бинарники и ограничивает возможности получения дополнительных прав внутри контейнера.

Удаление выполняется на этапе сборки образов и входит в стандартный процесс подготовки production-версий контейнеров.

Что обеспечивает Printum

Printum обеспечивает:

  • отсутствие файлов с установленными битами SUID и SGID в производственных образах;
  • отсутствие утилит повышения привилегий;
  • соответствие принципу минимально необходимых привилегий для контейнерных компонентов.
Back to top