s/icmp/adm/

Tomasz Kłoczko kloczek w rudy.mif.pg.gda.pl
Pon, 25 Cze 2001, 23:25:49 CEST


On Mon, 25 Jun 2001, Sebastian Zagrodzki wrote:

> On Mon, Jun 25, 2001 at 10:40:48PM +0200, Tomasz Kłoczko wrote:
> > OK .. to wyjaśnię. Chodzi o to żeby pozbyć sie używania dodatkowej grupy
> > icmp na potrzeby takich narzedzi jak ping czy traceroute i zastapić to
> > używaniem grupy adm która jest juz w grupach systemowych, a tak naprawdę
> > właściwie nie jest do niczego używana. Pakiet z binarkami 4754/root.adm
> > nie powinien generować róznych kłopotów przy imnstalacji w zasadzie w
> > dowolnym miejscu (chyba że ktoś zna jakeis konkretne zasosowanai tej grupy
> > które by kolidowały z próbą użycia jej do powyższego).
> > Koments?

> owszem :> zdaje się, że kiedyś była rozmowa o grupie ICMP i ustaliliśmy
> ostatecznie, że lepiej zamiast suidów i dziwnych grup używać sudo?
> (co więcej, to Ty się przy tym bardzo upierałeś ;) )

Owszem. Powiedzmy że zmieniłem zdanie i jeżeli już miałoby być bez sudo i
głównym powodem obiekcji była konieczność uzywanai dodatkowej grupy.
Czas mija i czasem człowiek pzrez przypadek wpada na potencjalnie
eleganckie rozwiania które mogły być do przyjęcia. Kwestia w tym że sam
też mam jeszcze wątpliwości i ich źródło mogłoby tkwić w jakis innych
zastosowanaich grupy adm z których sobie nei za bardzo zdaje sprawy.

> Poza kilkoma wyjątkami (vide np. minicom, któremu nie można dać sudo bo
> to nie jest specjalnie bezpieczne) nie powinniśmy ustawiać sudiów na
> binarkach, a właściwie to nawet tam nie powinniśmy ustawiać i najwyżej
> wywalać komunikaty ostrzegające "you must make XXX setuid root to be
> able to use it".
> ale to tak IMHO.

Sebastian .. po kawałku, bo wydaje się że można w tym wypadku do tego
podejść właśnie w ten sposób. Pytanie wisi nadal w powietrzu i na razie
skupmy się tylko na nim, a brzmi ono "czy użycie 4754/root.adm do bibarek
potrzebujących CAP_RAWIO nie będzie w czymś przeszkadzać i/lub czy jest to
głupie rozwiazanie ?" (wydaje mi się że jest niemal pewnikeim lepsze od
4754/root.icmp).

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*



Więcej informacji o liście dyskusyjnej pld-devel-pl