Re: cryptoapi als user
Stefan Klein schrieb: > > Ausweg wäre Usern ein mit Root-Rechten laufendes Wrapper-Skript zur > > Verfügung zu stellen, dass vor allem die Device-Parameter prüft > Das sollte nicht funktionieren da es AFAIK unter Linux nicht möglich > ist das SUID-bit bei Skripten zu setzen. Das funktioniert. Du denkst an SUID und ich an sudo ;-) Zugegeben, war etwas knapp formuliert. "chmod +s" geht natürlich nicht. Aber das wäre auch für losetup eine mehr als schlechte Idee. Und meine Aussage sollte so zu verstehen sein, dass ich selbst mit "sudo" einem bestimmten User keinen Zugriff auf losetup geben würde, sondern nur auf ein Skript, dass den losetup-Aufruf enthält und vorher die Parameter für losetup gründlichst prüft - und selbst dabei würde mir schlecht. -- [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: cryptoapi als user
On Sun, 8 Dec 2002 08:03:48 +0100 Rainer Ellinger <[EMAIL PROTECTED]> wrote: > Ausweg wäre Usern ein mit Root-Rechten laufendes Wrapper-Skript zur > Verfügung zu stellen, dass vor allem die Device-Parameter prüft > (also z.B. ob das angegebene File wirklich ein File des Users ist). Das sollte nicht funktionieren da es AFAIK unter Linux nicht möglich ist das SUID-bit bei Skripten zu setzen. Grüße, -- Stefan Klein rm -rf : remote mail, real fast. -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: cryptoapi als user
Am Sam, 2002-12-07 um 10.35 schrieb Bruno Semrau: > Hallo, > ich habe Probleme mit der Cryptoapi von www.kerneli.org. > Als root klappt alles super, doch wenn ich losetup als user benutzen > will kommt folgende Fehlermeldung > > losetup -e twofish /dev/loop0 test > memlock: Die Operation ist nicht erlaubt > Couldn't lock into memory, exiting. Loop-devices darf nur root anlegen. Um dennoch einem User zu erlauben ein verschlüsseltes "Laufwerk" anzumelden, kannst Du folgendes in /etc/fstab eintragen: /FULL/PATH/crypto0 \ /ZIEL_PFAD/ reiserfs \ defaults,noauto,loop,encryption=twofish,user0 0 Note: die "\" stellen Zeilenumbrüche dar Jetzt kann jeder User, der das Passwort kennt, das verschlüsselte Laufwerk einhängen mit mount /FULL_PATH/crypto0. HTH -- Matthias Hentges [www.hentges.net] -> PGP + HTML are welcome ICQ: 97 26 97 4 -> No files, no URLs My OS: Debian Woody: Geek by Nature, Linux by Choice -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: cryptoapi als user
Bruno Semrau schrieb: > ich habe Probleme mit der Cryptoapi von www.kerneli.org. > Als root klappt alles super, doch wenn ich losetup als user benutzen > will kommt folgende Fehlermeldung losetup liegt nicht umsonst in /sbin ;-) Bei losetup muss ein Device erzeugt werden, was nur Root möglich ist. Keine Chance für User. Sobald das Loopdevice existiert, kannst Du über die gewöhnlichen Unix-Rechte, den Zugriff auf das Loop-Device steuern. Ausweg wäre Usern ein mit Root-Rechten laufendes Wrapper-Skript zur Verfügung zu stellen, dass vor allem die Device-Parameter prüft (also z.B. ob das angegebene File wirklich ein File des Users ist). Aber Vorsicht! Diese Prüfung muss sehr gut sein und es bleibt mehr als gefährlich. Wer als User Zugang zu losetup hat, kann restriktionslos *jede* Datei und jedes Blockdevice auf ein loop-Device mappen und manipulieren. -- [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: cryptoapi als user
Am 07.12.2002 10:35:37, Bruno Semrau schrieb: > ich habe Probleme mit der Cryptoapi von www.kerneli.org. Als root > klappt alles super, doch wenn ich losetup als user benutzen will > kommt folgende Fehlermeldung > > losetup -e twofish /dev/loop0 test > memlock: Die Operation ist nicht erlaubt > Couldn't lock into memory, exiting. Nimm den User testhalber mal in die Gruppe "disk" auf, vielleicht klappt es dann. Zu dieser Vermutung komme ich aus: $ ls -l /dev/loop0 brw-rw1 root disk 7, 0 5. Okt 01:56 /dev/loop0 Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht... -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
