dev (było Re: użytkownik lp a właściciel /dev/lp*)
Jakub Bogusz
qboosh w prioris.mini.pw.edu.pl
Pią, 29 Cze 2001, 17:48:57 CEST
On Fri, Jun 29, 2001 at 12:51:00AM +0200, Tomasz Kłoczko wrote:
> On Thu, 28 Jun 2001, Jakub Bogusz wrote:
> [..]
> > - podobnie urządzenia dmfm* i dmmidi* - (co to jest? wiem tyle, że dźwięk)
> > - mpu401* - teraz ma 600 root.root, ale nie powinno być 660 root.audio?
>
> Tiu nie mam pojęcia co to jest (trzebaby poczytać).
dm* nie ma w devices.txt (z 2.4.4),
"MPU 401 MIDI" (data port, status port)
Tyle znalazłem.
> > - urządzenia svga*, js*, oldjs* mają gid sys - czy tu nie przydałaby się
> > jakaś grupa, żeby ułatwić udostępnienie tych urządzeń dla użytkowników
> > lokalnych (np. przez pam_group)?
>
> Pam_group jest troche nie tego. nadaje dodatkową grupę startowanym
> procesom i wystarczy że w takeij sesji zrobisz sobie mały wrapper i
> postawisz na nim sgid na tą dodatkową grupę. Wtedy niezależnie od tego czy
> przy autentyklacji dostałeś dodatkową grupę czy nie to pzrez ten wrapperek
> beziesz w stanie uzyskać dostęp do zasobów tej grupy i tak.
OK, wiem, ale jeżeli już udostępniamy np. /dev/dsp grupie w miarę zaufanych
użytkowników na maszynie dostępnej lokalnie i przez sieć, to lepiej zrobić
to przez pam_group niż bezpośrednio - choćby po to, żeby nie usłyszeć
nagle czegoś przez zwykłą pomyłkę (zdarzało mi się pomylić konsole
i próbować używać np. mtools zdalnie ;)).
BTW, czy nosetuid na partycje z ~ i wszystkimi katalogami world-writable
nie wystarczy, żeby zapobieć używaniu takiego wrappera?
--
Jakub Bogusz
http://prioris.mini.pw.edu.pl/~qboosh/
Więcej informacji o liście dyskusyjnej pld-devel-pl