Re: initrd и привелегии по льзователя

2008-10-23 Пенетрантность Victor Wagner 
On 2008.10.22 at 21:10:27 +0400, sergio wrote:

 тут всё намного проще
 mktemp создаёт каталог с 700
 кстати, ключей для изменения такого поведения нет.

Ну и кто ж им баклан потом cpio архивировать .?
Нет бы сделать find * вместо find . - в корне дот-файлов обычно нет.
Или даже find . |grep -v '^\.$'

В etch это строка 281 в /usr/sbin/mkinitramfs


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: initrd и привелегии по льзователя

2008-10-22 Пенетрантность Victor Wagner 
On 2008.10.22 at 18:42:37 +0400, sergio wrote:

 Victor Wagner wrote:
 
 А что показывает ls -ld / и ls -ld /bin?
 Блин, всё так банально...
 700 на /

Это - знаменитейшая грабля. Обычно бывает из-за каких-нибудь глюков в
скрипте, вроде

DIR=var/lib/something
FILENAME=${DIR}/xxx
chmod 0700 /$FILENME

на хосте с десятком живых пользователей. Запускаешь такой скрипт из-под
рута, а потом удивляешься, почто юзеров так обижают.
Я на эти грабли впервые наступил году в 1996.



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: initrd и привелегии по льзователя

2008-10-21 Пенетрантность Victor Wagner 
On 2008.10.21 at 00:23:08 +0400, Artem Chuprina wrote:

 Victor Wagner - debian-russian@lists.debian.org  @ Tue, 21 Oct 2008 00:05:57 
 +0400:
 
 Там, небось, read-only filesystem...

С какого перепуга? На initrd она обычно rw - почему б и не позволить на
ram-disk писть-то.
Другое дело что по хорошему счету надо разбираться с initramfs-tools -
где там в конфигурации накосячено, что оно с такими правами создается.


 


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: initrd и привелегии по льзователя

2008-10-21 Пенетрантность Victor Wagner 
On 2008.10.21 at 15:22:08 +0400, Artem Chuprina wrote:

 Victor Wagner - debian-russian@lists.debian.org  @ Tue, 21 Oct 2008 12:04:26 
 +0400:
 
   Там, небось, read-only filesystem...
 
  VW С какого перепуга? На initrd она обычно rw - почему б и не
  VW позволить на ram-disk писть-то.  Другое дело что по хорошему счету
  VW надо разбираться с initramfs-tools - где там в конфигурации
  VW накосячено, что оно с такими правами создается.
 
 А на кой его создавать с другими правами?  Там, напомню, набор
 пользователей ни разу не тот, что на боевой системе, и посему там
 совершенно ни к чему позволять работать от нерута.

На базе initrd/initramfs делаются сейчас многие и странные вещи. Поэтому
было бы осмысленно делать эту штуку так, чтобы поведение файловой
системы соотвеветствовало ожиданиям админа. Мало ли каких сервисы,
которые должны работать с ограниченными правами он захочет запускать с
initrd. Например, sshd с privelege separation совсем не лишний прибамбас
для загрузочного носителя оставленного в дисководе хостингового сервера.


 -- 
 Artem Chuprina
 RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
 
 Реляционная база данных - это не единственный способ сделать дурацкий поиск.
   Victor Wagner
 
 
 -- 
 To UNSUBSCRIBE, email to [EMAIL PROTECTED]
 with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
 


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: initrd и привелегии по льзователя

2008-10-21 Пенетрантность Victor Wagner 
On 2008.10.21 at 16:07:16 +0400, Artem Chuprina wrote:

 
 И под какого пользователя там делать privilege separation?  В юниксах,
 сколь я помню, жестко определен ровно один uid - равный нулю.
 
 А то может получиться, что система загружена, процесс уже запущен, а
 через несколько минут глядь - а он уже из-под совершенно не того юзера
 работает...

При этом uid-то тот же самый, поэтому права доступа к файлам - не
поменяются. А как того юзера в /etc/passwd зовут - не принципиально.

Так что соответствие имен и uid-ов на разных файловых системах - это,
как обычно, проблема админа.  И то, что её необходимо явно решать, не
повод создавать файловую систему, нечитаемую ни для кого, кроме рута.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: initrd и привелегии по льзователя

2008-10-20 Пенетрантность Victor Wagner 
On 2008.10.20 at 18:39:33 +0400, sergio wrote:

 Всем привет
 
 Почему в initrd нельзя выполнять или читать файлы без рутовских привелегий?
 
 su user выдаёт
 Cannot execute /bin/sh: Permission denied
 strace показывает
 execve(/bin/sh, [sh], [/* 27 vars */]) = -1 EACCES (Permission denied)
 
 и так не только с su и не только на выполнение, но и на чтение.
 при этом доступ к файлам нормальный 755 (или 644).

А что показывает ls -ld / и ls -ld /bin?
А то подобные глюки обычно бывают от того, что неправильные права на
корень файловой системы. И очень тяжело додуматься до того, что смотреть
надо в корень.  Не исключено, что банальный

chmod 0755 / 
перед su спасет смертельно раненного кота. А дальше надо смотреть,
почему initrd так его создает.

 --
 sergio.
 
 
 -- 
 To UNSUBSCRIBE, email to [EMAIL PROTECTED]
 with a subject of unsubscribe. Trouble? Contact 
 [EMAIL PROTECTED]
 


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]