Re: Bug a la instal·lació de postgresql?
Al man su/man runuser hi fa alguna referència. Però no entenc el motiu perquè és un forat de seguretat si s'usa kerberos (NOTA: jo no faig servir kerberos). Toni Mas GPG 3F42A21D84D7E950 Sent with ProtonMail Secure Email. ‐‐‐ Original Message ‐‐‐ El dissabte, 25 de setembre 2021 a les 21:00, Eloi va escriure: > El 25/9/21 a les 11:06, Alex Muntada ha escrit: > > > Hola, Eloi > > > > [...] > > > > > Una de les recomanacions que vaig llegir aleshores era usar la > > > > > > comanda "runuser" quan qui l'executa ja és root, doncs desescala > > > > > > a qualsevol usuari sense demanar autenticació mentre que la > > > > > > resta d'usuaris no la poden executar. > > > > > > Això no recordo haver-ho llegit però ho acabo de provar i > > > > > > funciona bé: no demana contrasenya encara que comenti l'entrada > > > > > > del pam_rootok al /etc/pam.d/runuser. > > Això és que em faig vell i/o no menjo prou cues de pansa :-) > > Jo tampoc he trobat el que recordo haver llegit, segurament deuria ser > > una font de tercers, que em deuria enganxar documentant-me i al final he > > acabat confonent els orígens. L'única referència explícita que he estat > > capaç de trobar amb DDG (DuckDuckGo, no Diari De Girona :-D) dins > > debian.org és la següent, que no és el que recordo haver llegit però que > > igualment apunta en la mateixa direcció: > > https://bugs.debian.org/890862 > > Si trobo on redimonis vaig llegir-ho us ho faré saber. signature.asc Description: OpenPGP digital signature
Re: Bug a la instal·lació de postgresql?
El 25/9/21 a les 11:06, Alex Muntada ha escrit: Hola, Eloi [...] Una de les recomanacions que vaig llegir aleshores era usar la comanda "runuser" quan qui l'executa ja és root, doncs desescala a qualsevol usuari sense demanar autenticació mentre que la resta d'usuaris no la poden executar. Això no recordo haver-ho llegit però ho acabo de provar i funciona bé: no demana contrasenya encara que comenti l'entrada del pam_rootok al /etc/pam.d/runuser. Això és que em faig vell i/o no menjo prou cues de pansa :-) Jo tampoc he trobat el que recordo haver llegit, segurament deuria ser una font de tercers, que em deuria enganxar documentant-me i al final he acabat confonent els orígens. L'única referència explícita que he estat capaç de trobar amb DDG (DuckDuckGo, no Diari De Girona :-D) dins debian.org és la següent, que no és el que recordo haver llegit però que igualment apunta en la mateixa direcció: https://bugs.debian.org/890862 Si trobo on redimonis vaig llegir-ho us ho faré saber.
Re: Bug a la instal·lació de postgresql?
Hola, Eloi > Acabo de recordar que fa un temps (oldstable o fins i tot > oldoldstable) hi va haver un canvi important a la comanda su, > bàsicament hi havia dues implementacions i es va canviar d'una > a l'altra per defecte, que tenia algunes subtileses. Crec que > es va documentar a les release notes corresponents, a veure si > quan pugui ho trobo i ho enllaço. Jo també ho recordava però només he trobat aquest petit comentari a les notes d'alliberament de Debian 10 (he remuntat fins a la 8, no he mirat més enrere): https://www.debian.org/releases/buster/amd64/release-notes/ch-information.en.html#su-environment-variables «su has changed semantics in buster and no longer preserves the user environment variables DISPLAY and XAUTHORITY. If you need to run graphical applications with su, you will have to explicitly set them to allow access to your display. See bug #905409 for an extensive discussion.» > Una de les recomanacions que vaig llegir aleshores era usar la > comanda "runuser" quan qui l'executa ja és root, doncs desescala > a qualsevol usuari sense demanar autenticació mentre que la > resta d'usuaris no la poden executar. Això no recordo haver-ho llegit però ho acabo de provar i funciona bé: no demana contrasenya encara que comenti l'entrada del pam_rootok al /etc/pam.d/runuser. > No tinc clar si funcionaria en aquest escenari específic que > s'ha descrit ni si la presumpció que els postinst s'executen > amb permisos de root és sempre certa, per tant no puc valorar > si el canvi de su a runuser seria una solució adequada per al > paquet. Vist que tant su com runuser pertanyen a util-linux, trobo que seria una bona idea suggerir als mantenidors del postgresql que utilitzin runuser enlloc de su per a fer les comprovacions del postinst. En aquest sentit, crec que la millor manera de fer-ho és obrir un bug. Salut, Alex -- ⢀⣴⠾⠻⢶⣦⠀ ⣾⠁⢠⠒⠀⣿⡁ Alex Muntada ⢿⡄⠘⠷⠚⠋ Debian Developer log.alexm.org ⠈⠳⣄ signature.asc Description: PGP signature