bugs: dev, setup, inne

Śro, 21 Cze 2000, 08:08:24 CEST

On Wed, 21 Jun 2000, Jakub Bogusz wrote:
[..]
> > > > Przy okazji - na temat pam: dev zostało przystosowane do korzystania
> > > > z pam_group - więc chyba przydało by się dopisać używanie tego do
> > > > plików konfiguracyjnych pam - tym bardziej, że z dokumentacji nie bardzo
> > > > wynika, jak dopisać wywołanie pam_group do /etc/security/login
> > o, no właśnie :)
> > ja mogę rzucić przykładem, u mnie to działa:
> > /etc/pam.d/login:
> > auth            required        /lib/security/pam_group.so
> 
> U siebie drogą prób i błędów doszedłem do czegoś takiego:
> auth            optional        /lib/security/pam_group.so
> 
> Wczoraj w pam.conf (jest w źródłach pam, ale nie w pakietach binarnych)
> znalazłem:
> login   auth       optional   pam_group.so
> 
> ("login", bo to jest pam.conf, a nie /etc/pam.d/)
> 
> > /etc/security/group.conf:
> > *;tty*;*;Al0000-24000;floppy, audio, cdrecord
> 
> Jeżeli są ptysie, to w porządku, jak nie, to ttyp* też się na to załapie ;)

Wogóle to zapewne czytaliście tekst jaki jest w nagłówku group.conf (?).

# *** Please note that giving group membership on a session basis is
# *** NOT inherently secure. If a user can create an executable that
# *** is setgid a group that they are infrequently given membership
# *** of, they can basically obtain group membership any time they
# *** like. Example: games are alowed between the hours of 6pm and 6am
# *** user joe logs in at 7pm writes a small C-program toplay.c that
# *** invokes their favorite shell, compiles it and does
# *** "chgrp games toplay; chmod g+s toplay". They are basically able
# *** to play games any time... You have been warned. AGM

Najgorsze w tym wszystkim jest to, że nie ni przychodzi mi jakiekolwiek
inne rozwiązanie powyższego problemu.
Kolejna sprawa to to, ze zdaje się, że mozliwość nagrywanai zdaje sie że
łączy się z posiadaniem CAP_ADMIN czyli w praktyce coś co jest bardzo
bliskie pełnym uprawnieniom root-a.

Możemy przyjąć, że świadomie godzimy się na to co jest w nagłówku
group.conf i szukamy dalej docelowego rozwiązanai powyższego.
Jednym z pośrednich rozwiazań może IMHO być takie zmodyfikowanie
pam_grupp, żeby w w trzecim polu możan było podać nie tylko użytkownika
ale także grupę. Wtedy mozanby np. mieć grupę uzytkowników np. trusted
czy pam_group wobez to której grupy miałoby się pewność, że możnba im
zaufać, że nie wykorzystają oni tego co jest zawarte w nagłówku
group.conf.

Jeszcze ejdno, bo wydaje mi się, że jednak gdzieś ktoś musiał próbować
rozwiazywać powyższy problem dodatkowych uprawnień na poziomie
sesji. Pytanie czy ktoś zna inne jakieś rozwiazania powyższego z innych
unices ?

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*