Uprawnienia do /dev/js[0-3]

Sob, 24 Sie 2002, 20:05:00 CEST

On Wed, 21 Aug 2002, Jakub Bogusz wrote:

> Jak wygląda sprawa udostępniania joysticka dla userów?
> Dawać im grupę sys, czy zmienić grupę /dev/js* na coś innego?
> sys jest chyba już w miarę bezpieczne - oprócz joysticków tylko
> framegrabbery:
> 
> crw-rw----    1 root     sys       94,   0 1999-04-17 21:53 dcxx0
> crw-rw----    1 root     sys       94,   1 1999-04-17 21:53 dcxx1
> crw-rw----    1 root     sys       93,   0 1999-04-17 21:53 iscc0
> crw-rw----    1 root     sys       93,   1 1999-04-17 21:53 iscc1
> crw-rw----    1 root     sys       93, 128 1999-04-17 21:53 isccctl0
> crw-rw----    1 root     sys       93, 129 1999-04-17 21:53 isccctl1
> crw-rw----    1 root     sys       40,   0 1999-04-17 21:53 mmetfgrab
> crw-rw----    1 root     sys       26,   0 1999-04-17 21:53 wvisfgrab
> 
> Nie widzę w żadnym innym pakiecie plików z grupą sys.
> 
> Problemem może być oprogramowanie spoza dystrybucji (np. jakaś
> komercja), mające inne zdanie o przeznaczeniu grupy sys.

Z tym jest nieajki kłopot. Ciezko jest odróżnić użytkownika lokalnego od 
nielokalnego. To po pierwsze. Po drugie jeżeli już się to uda to 
uprawnienai do konkretnych urządzeń powinny być nadawane an czas sesji a 
nie per uzytkownik/grupa. Orginalnie pam_console robił własnie coś takeigo 
ale Jankowi się to nie podobało (szczerze mówiąc nie do końca wiem 
dlaczego ? :)
Używajac kernela 2.4 można na devfs troche prościej takie korkty 
wykonywać. Niemiej IMHO tutaj byłoby potrzebne raczej rozwiazanie nieco 
podobne do tego jakei występuje w przyapdku ptyfs. Otóż normalnie pliki
utrządzeń nie powonny być widoczne/dostępne i powinno się je alkować.
Kernel wiedżac który to proces zrobuł mógłby w przypdku padu procesu 
wyrejerstoewać sam urządzenie, a urżadzenei zaalokowane pzrez jednego 
użytkownika nie byłoby mozliwe do zalokacji przez innego.
Głowny kłopot polega tu na tym że zmian uprwnień do urżadznia moze się 
pzredłuzyć po za sesję na którą jest to potrzebne.

Już jakieś dwa lata temu rozmawiałem keidyś o tym z Marcinem i Agnieszka 
jak byli w 3miescie. Niemniej rozwiazanie tego typu wymagałoby dość 
poważnej ingerenji w kernel. Kto wie mzoę wartoby pomysleć głośno na k-l o 
tego typu zozwiazaniu. Sam na pewno czegoś takeigo nie zrobie ale moze 
podrzucenie komyuś pomysłu o wydzieleniu pewnych urządzeń w klasę nazwijmy 
je "urządznia sesyjne" i wrzucenie do jednego worka z ptyfs + dołożenie do 
tego jakiegoś wspólnego api spowodowałonby że ujrzałoby to światło 
dzienne.

IMHO bz tego typu właśnie rozwięzania Linux jako taki dalej będzie miał
niejakie kłopoty z szerszym opanowywaniem desktopów.

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*