Radius (Bylo: Kilka rzeczy ...)
Grzegorz Stanislawski
stangrze w open.net.pl
Nie, 2 Maj 1999, 17:58:40 CEST
On Fri, 30 Apr 1999, Konrad Stepien wrote:
> On Fri, 30 Apr 1999, Grzegorz Stanislawski wrote:
> > On Thu, 29 Apr 1999, Tomasz Kłoczko wrote:
> > > - brak suid root na pppd ale jednocześnie wprowadzeniejakiś narzędzi które
> > suid jest jeszcze potrzebny do modyfikowania tablicy routingu jesli mamy
> > miec default gateway via ppp po stronie klienta, oraz (chyba) rowniez do
> > robienia proxyarp po strone serwera.
> Tak więc do dial-upów suida nie potrzebuję bo to załatwia portslave.
> Co do dzierżawek, to i tak pppd wstaje ze skryptów startowych (albo nawet
> z inittab-a), więc też s-ka nie jest do szczęścia potrzebna.
Dokladnie, rc-scriptsy do dzierzawek i portslave chodza z roota, wiec nie
potrzebuja suida. Powstaje pytanie czy portslave jest bezpieczny,
zwlaszcza ze moze on porocz pppd rowniez forkowac telneta i shella.
(i wszystkie beda chodzic z prawami roota).
Mozna tez obyc sie bez portslava i zamiast /bin/*sh user moze miec w
/etc/passwd /usr/bin/pppd i wtedy pppd tez chodzi z roota.
> Suid jest potrzebny (chyba) tylko wtedy, kiedy luzer ma mieć mozliwość
> stawiania połączeń ppp. Ale to IMHO powinno się też załatwić jakimś
> tool-sem w stylu redhatowskiego usernet-u czy kppp.
Tak jest, i jakby na to niepatrzec bedzie to najczestrze zastosowanie.
Wrapper moze byc, pytanie tylko po co? Nie wiem jak wy, ale ja bardziej
ufam suidowi na pppd niz na jakims skrypcie.
Moim zdaniem wrapper niepotrzebnie komplikuje sprawe. Ograniczanie
mozliwosci kozystania w pppd mozna zrobic duzo prosciej poprzez takie cos:
-rws--x--- 1 root ppp 116948 Oct 3 1998 /usr/sbin/pppd
i dopisanie odpowiednich userow do grupy ppp
> --
> Konrad Stępień | InterData s.c. http://www.interdata.com.pl
> konrad w interdata.com.pl | Łódź al. Kościuszki 3 tel +48+42 630-50-50
>
Grzegorz Stanislawski
Open-Net / PKFL
Więcej informacji o liście dyskusyjnej pld-devel-pl