Атрибуты файлов и каталогов (секции: %install, %files)

Права доступа на привилегированные исполняемые файлы

Привилегированные исполняемые файлы, т.е. исполняемые файлы с установленными битами suid и/или sgid, НЕ ДОЛЖНЫ быть доступны по чтению (и тем более по записи) кому-либо, кроме процессов с uid==0.

Разделы, предназначенные для использования readonly

Пакеты НЕ ДОЛЖНЫ содержать файлы и каталоги в поддереве /usr, разрешающие доступ по записи кому-либо, кроме процессов с uid==0. Более того, программам, входящим в пакет, во время своей работы НЕ СЛЕДУЕТ полагаться на то, что файловые объекты, находящиеся в /usr, доступны по записи.

Файлы и каталоги, доступные для записи

Пакеты НЕ ДОЛЖНЫ содержать файлы и каталоги, доступные для записи всем пользователям. Должны быть предусмотрены меры по разграничению доступа, например, путём предоставления доступа по записи определённой группе(ам).

Владельцы файлов

Пакеты НЕ ДОЛЖНЫ содержать файлы, принадлежащие псевдо-пользователям, если в процессе работы к этим файлам осуществляется доступ процессов с другим uid либо с более широкими правами доступа. К таким файлам, в частности, относятся исполняемые, конфигурационные и неизменяемые файлы.

Обоснование: Псевдо-пользователь не должен иметь право изменять эти файлы; нарушение этого правила, как правило приводит к очевидной возможности осуществления pseudouser/root compromise.

Владельцы каталогов

Пакеты НЕ ДОЛЖНЫ содержать каталоги, принадлежащие псевдо-пользователям. Вместо этого следует использовать каталоги, принадлежащие root, с установленным sticky bit и доступом группы по записи.

Обоснование: Псевдо-пользователь не должен иметь право изменять атрибуты каталогов, а также файлы и каталоги, созданные другими пользователями; нарушение этого правила, как правило приводит к возможности осуществления pseudouser/root compromise.