8 comentarios

Controversia acerca de la nueva política de seguridad en la instalación de ciertos paquetes en Fedora 12

La recientemente lanzada Fedora 12 Constantine, ha traído consigo no sólo muchas mejoras y novedades, sino también una controversia en los usuarios acerca de una nueva característica en la política de seguridad de la distribución.

Resulta que se ha configurado el sistema para que el usuario pueda instalar ciertos paquetes (debidamente firmados) sin necesidades de los permisos de superusuarios.

Algunos desarrolladores de Fedora argumentan que esta política se definió de esta para la distribución debido a su enfoque como escritorio, lo cual consideran es más adecuado para que el usuario pueda instalar programas y aplicaciones que necesite sin necesidad de involucrar la autenticación como root. Desarrolladores como Rahul Sundaram y Bastien Nocera, éste último es menor conocido como el creador de Totem, es uno de los muchos desarrolladores que defienden este enfoque en aras de mejorar la experiencia para el usuario.

Sin duda que esta novedad ha caído en los usuarios de 2 formas diferentes, tenemos como es de suponer a los que están a foavor y a los que están completamente en contra puesto que ven una posible gran vulnerabilidad en el sistema, algo que rompería con la famosa seguridad/estabilidad de los OS GNU/Linux.

Curioso es también el hecho de que no haya sido documentada esta nueva característica; de todas maneras puede modificarse fácilmente:

Solo se requiere ejecutar como root:

pklalockdown --lockdown org.freedesktop.packagekit.package-install

Para volver a implementarla:

pklalockdown --remove-lockdown org.freedesktop.packagekit.package-install

También se puede editar el fichero /var/lib/polkit-1/localauthority/50-local.d/10-my-pkgkit-policy.pkla y poner el siguiente contenido:

[NoUsersInstallAnything]
Identity=unix-user:*
Action=org.freedesktop.packagekit.package-install
ResultAny=auth_admin
ResultInactive=auth_admin
ResultActive=auth_admin

Según nos cuentan en el Blog de Rigo, este último método sería el aconsejable ya que pklalockdown desaparecerá en futuros lanzamientos.

Acerca de Martín Casco

Abogado, Socio del "Estudio Yaccuzzi & Casco"

8 comentarios el “Controversia acerca de la nueva política de seguridad en la instalación de ciertos paquetes en Fedora 12

  1. Información Bitacoras.com…

    Valora en Bitacoras.com: La recientemente lanzada Fedora 12 Constantine, ha traído consigo no sólo muchas mejoras y novedades, sino también una controversia en los usuarios acerca de una nueva característica en la política de seguridad de la distribu…..

  2. La verdad, prefiero seguir escribiendo mi contraseña asi me demore un poquito mas.

  3. Uso Ubuntu, pero esta solución me parece estupenda. Si yo sé que me descargo por ejemplo el Chromium de su web, bastaría con ejecutar el installer y ya está. Hay confianza por ambas partes, así que lo apruebo.

    Estamos hablando de paquetes firmados, ojo. La gente que está en contra ya se piensa que corremos mucho riesgo con esto, y que es un paso a que no se deba pedir acceso para instalar ninguna aplicación, y no es eso. señores.

    • Si, pero no te parece que podría facilitar la creación de paquetes maliciosos y firmados? Obviamente firmados por terceros para hacerlos pasar como paquetes de confianza y así vulnerar la seguridad del sistema…

      • Yo en muchos aspectos veo que GNU/Linux no es tan seguro, la seguridad siempre depende del usuario que está al teclado, te pongo un ejemplo:

        Blogs como este (es sólo un ejemplo, no tengo nada con el blog que me gusta mucho ;)) pueden publicar una entrada dando la solución a un fallo típico en GNU/Linux, por ejemplo, “Como conseguir que tu Ati Radeon vuele en linux” y seguido das un script que lo que hace es intalar un troyano en GNU/Linux.

        Otro ejemplo es interceptar una de las conexiones durante la instalación de un programa y añadir un repositorio falso al sistema, etc.

        Creo que igual no deberían dejarte instalar desde webs ajenas a la distro, pero desde el propio Fedora web sí.

  4. No le veo problema, que daño puede hacer instalar una aplicación como vlc o songbird por ejemplo debidamente firmada y desde repositorios de la propia distribución?

  5. Bueno, yo hasta cierto punto lo veo como algo que dota mayor seguridad al sistema, pues de esta forma, no usamos el superusuario para cosas rutinarias.

    Por ejemplo, creo que las actualizaciones de seguridad o… imprecindibles no deberían esperar una autorización del superusuario, en cambio sí las propuestas, o inestables, o las opcionales…

    Yo por ejemplo tengo un PC en casa con GNU/Linux, y soy el admin, con lo que en un principio sólo yo sé la contraseña de root, o al menos para acceder a sudo, pero en casa mi hermano y mi madre tb usan la PC, si por ejemplo quieren un programa que se me ha olvidado instalar, ellos no pueden, tampoco pueden instalar la impresora, etc.

    Pues bien, ellos se sienten que están muy limitados a usar la PC, con lo que al final tengo que darle la contraseña, o darle permisos, con lo que la seguridad se viene bastante abajo.

  6. Y si la web es pishing? Una copia exacta de la original con enlaces de descarga firmadas.

    No me parece algo por lo cual alarmarme pero creo que seria una puerta semi abierta para de seguridad.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: