chmod 0755对pkexec有什么影响？

Question

我理解快速减轻CVE-2021-4034的一种方法是chmod 0755 /usr/bin/pkexec (即从其中移除SUID位)。

我不清楚这是什么真实世界的后果。(看看我的Ubuntu20.04安装，当我将polkit更新到一个没有bug的版本时，这种情况似乎就发生了)。

Answer 1

移除pkexec上的setuid位的现实后果是，它不再适用于除root之外的任何人(而root不需要pkexec)。

pkexec首先做的事情之一是检查其有效用户ID是否为根：

  /* check for correct invocation */
  if (geteuid () != 0)
    {
      g_printerr ("pkexec must be setuid root\n");
      goto out;
    }

如果不是那样的话，就会出错。

这种缓解的好处是，pkexec不再为除根用户以外的所有人工作，包括恶意参与者。但是，任何依赖pkexec并以非根用户身份运行的东西也将停止工作，因此更好的解决方案是安装一个更新版本(就像您以前所做的那样，从您的发行版中安装)。

如果无法升级，不妨删除pkexec (二进制文件，而不是包含包)。有些程序支持多种提升特权的方法；如果它们首先尝试pkexec，如果它存在但不能工作，它们将失败，而如果根本找不到它，则可以尝试另一种方法。