Re: initrd и привелегии по льзователя
On 2008.10.22 at 21:10:27 +0400, sergio wrote: тут всё намного проще mktemp создаёт каталог с 700 кстати, ключей для изменения такого поведения нет. Ну и кто ж им баклан потом cpio архивировать .? Нет бы сделать find * вместо find . - в корне дот-файлов обычно нет. Или даже find . |grep -v '^\.$' В etch это строка 281 в /usr/sbin/mkinitramfs -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: initrd и привелегии по льзователя
On 2008.10.22 at 18:42:37 +0400, sergio wrote: Victor Wagner wrote: А что показывает ls -ld / и ls -ld /bin? Блин, всё так банально... 700 на / Это - знаменитейшая грабля. Обычно бывает из-за каких-нибудь глюков в скрипте, вроде DIR=var/lib/something FILENAME=${DIR}/xxx chmod 0700 /$FILENME на хосте с десятком живых пользователей. Запускаешь такой скрипт из-под рута, а потом удивляешься, почто юзеров так обижают. Я на эти грабли впервые наступил году в 1996. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: initrd и привелегии по льзователя
On 2008.10.21 at 00:23:08 +0400, Artem Chuprina wrote: Victor Wagner - debian-russian@lists.debian.org @ Tue, 21 Oct 2008 00:05:57 +0400: Там, небось, read-only filesystem... С какого перепуга? На initrd она обычно rw - почему б и не позволить на ram-disk писть-то. Другое дело что по хорошему счету надо разбираться с initramfs-tools - где там в конфигурации накосячено, что оно с такими правами создается. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: initrd и привелегии по льзователя
On 2008.10.21 at 15:22:08 +0400, Artem Chuprina wrote: Victor Wagner - debian-russian@lists.debian.org @ Tue, 21 Oct 2008 12:04:26 +0400: Там, небось, read-only filesystem... VW С какого перепуга? На initrd она обычно rw - почему б и не VW позволить на ram-disk писть-то. Другое дело что по хорошему счету VW надо разбираться с initramfs-tools - где там в конфигурации VW накосячено, что оно с такими правами создается. А на кой его создавать с другими правами? Там, напомню, набор пользователей ни разу не тот, что на боевой системе, и посему там совершенно ни к чему позволять работать от нерута. На базе initrd/initramfs делаются сейчас многие и странные вещи. Поэтому было бы осмысленно делать эту штуку так, чтобы поведение файловой системы соотвеветствовало ожиданиям админа. Мало ли каких сервисы, которые должны работать с ограниченными правами он захочет запускать с initrd. Например, sshd с privelege separation совсем не лишний прибамбас для загрузочного носителя оставленного в дисководе хостингового сервера. -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] Реляционная база данных - это не единственный способ сделать дурацкий поиск. Victor Wagner -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: initrd и привелегии по льзователя
On 2008.10.21 at 16:07:16 +0400, Artem Chuprina wrote: И под какого пользователя там делать privilege separation? В юниксах, сколь я помню, жестко определен ровно один uid - равный нулю. А то может получиться, что система загружена, процесс уже запущен, а через несколько минут глядь - а он уже из-под совершенно не того юзера работает... При этом uid-то тот же самый, поэтому права доступа к файлам - не поменяются. А как того юзера в /etc/passwd зовут - не принципиально. Так что соответствие имен и uid-ов на разных файловых системах - это, как обычно, проблема админа. И то, что её необходимо явно решать, не повод создавать файловую систему, нечитаемую ни для кого, кроме рута. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: initrd и привелегии по льзователя
On 2008.10.20 at 18:39:33 +0400, sergio wrote: Всем привет Почему в initrd нельзя выполнять или читать файлы без рутовских привелегий? su user выдаёт Cannot execute /bin/sh: Permission denied strace показывает execve(/bin/sh, [sh], [/* 27 vars */]) = -1 EACCES (Permission denied) и так не только с su и не только на выполнение, но и на чтение. при этом доступ к файлам нормальный 755 (или 644). А что показывает ls -ld / и ls -ld /bin? А то подобные глюки обычно бывают от того, что неправильные права на корень файловой системы. И очень тяжело додуматься до того, что смотреть надо в корень. Не исключено, что банальный chmod 0755 / перед su спасет смертельно раненного кота. А дальше надо смотреть, почему initrd так его создает. -- sergio. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]