Konforunuz için KDE su bir “parolayı tut” özelliği içerir. Güvenlik konusunda ilgiliyseniz bu paragrafı okumalısınız.
KDE su'nun parolaları anımsamasına izin vermek sisteminizde (ufak) bir güvenlik açığı doğurur. Tabii ki KDE su sizin kullanıcı kimliğiniz dışındaki kimsenin parolanızı kullanmasına izin vermez; ancak dikkatli kullanılmazsa bu yönetici
'nin güvenlik düzeyini normal bir kullanıcının düzeyine (sen) düşürür. Hesabınızı kıran bir deşici, yönetici
erişimi alabilir. KDE su bunu engellemeye çalışır. Kullandığı güvenlik şeması görece güvenlidir ve burada açıklanmıştır.
KDE su, kdesud denen bir ardalan süreci kullanır. Süreç, komutlar için /tmp
içindeki bir UNIX® yuvasını dinler. Yuvanın kipi 0600'dır; böylece yalnızca sizin kullanıcı kimliğiniz ona bağlanabilir. Parolayı tutma etkinleştirilmişse KDE su komutları bu ardalan süreci üzerinden yürütür. Komutu ve yönetici
'nin parolasını yuvaya yazar ve ardalan komutu daha önce açıklandığı üzere su ile yürütür. Sonrasında komut ve parola atılmaz. Bunun yerine belirli bir süre tutulurlar. Bu, denetim modülündeki zaman aşımı değeridir. Bu süre içinde aynı komut için bir istek gelirse istemcinin parolayı sağlamasına gerek kalmaz. Deşicilerin ardalan sürecinden parolaları çıkarmasına engel olmak için (örneğin bir hata ayıklayıcı iliştirerek) ardalan süreci set-group-id nogroup olarak kurulmuştur. Bu, tüm normal kullanıcıların (sen de dahil olmak üzere) parolaları kdesud sürecinden almasına engel olmalıdır. Ayrıca, ardalan süreci DISPLAY
çevre değişkenini başlatıldığındaki değere geri ayarlar. Bir deşicinin yapabileceği tek şey ekranınızda bir program yürütmek olabilir.
Bu şemadaki bir olası zayıf nokta ise yürüttüğünüz programların güvenlik temel alınarak yazılmamış olmasıdır (setuid yönetici
programları gibi). Bu, önbellek taşmaları veya başka sorunların olabileceği ve bir deşicinin bunları kullanabileceği anlamına gelir.
Parola tutma özelliği güvenlik ve konfor arasında bir feragattir. Buna göre kullanmak isteyip istemediğinizi bir düşünün.