<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html;charset=UTF-8" http-equiv="Content-Type">

</head>

<body bgcolor="#ffffff" text="#000000">

Steve Grubb wrote:

<blockquote cite="mid:200812060745.37122.sgrubb@redhat.com" type="cite">

  <pre wrap="">On Saturday 06 December 2008 00:55:24 Jesse Keating wrote:

  </pre>

  <blockquote type="cite">

    <pre wrap=""> These are required to be this way for our Common Criteria evaluations.

Is the thought here that if the code can be executed by a non-root user,

the audit of the code would have to be far more strict?

    </pre>

  </blockquote>

  <pre wrap=""><!---->

No, it has more to do with the fact that we have to audit all attempts to 

modify trusted databases - in this case, shadow. No one can use these tools 

since they do not have the permissions required to be successful. So, we 

remove the ability to use these tools so that we don't have to audit it. 

IOW, if we open the permissions, we need to make these become setuid root so 

that we send audit events saying they failed.

  </pre>

</blockquote>

No you don't, cause you said yourself filesystem-level auditing is

still done.<br>

So if someone tries to use usermod to modify /etc/passwd and hasn't the

permissions it takes, it will be logged.<br>

usermod is just another tool to modify /etc/passwd, ...<br>

With exactly the same reasoning You could chmod 750 /bin/vi<br>

<blockquote cite="mid:200812060745.37122.sgrubb@redhat.com" type="cite">

  <pre wrap="">

  </pre>

  <blockquote type="cite">

    <pre wrap="">I'm just curious what added security you really get.

    </pre>

  </blockquote>

  <pre wrap=""><!---->

Its not so much a security thing as much as its a certification thing. An 

ordinary user cannot possibly use these tools since they do not have the 

requisite permissions.

-Steve

  </pre>

</blockquote>

I understand that there may be many people who want that certification

thing, but it's just another special use-case for Fedora.<br>

And as we don't make everyone's desktop run free-ipa servers just

because "modern operating systems must have directory servers", we also

shouldn't make everyone's usermod 750 just because there may be some

companies with some policy to use only certified software.<br>

So I think the best way to satisfy the requirements for certification

is with separate packages/scripts/options.<br>

</body>

</html>