Prawa dostepu do urzadzen

Tomasz Kłoczko kloczek w rudy.mif.pg.gda.pl
Śro, 24 Maj 2000, 19:06:21 CEST 

On Wed, 24 May 2000, Sebastian Zagrodzki wrote:

> On Wed, 24 May 2000 igorw w poczta.onet.pl wrote:
> > Prawa dostepu do urzadzen sa w PLD bardzo restrykcyjne. Zwykly uzytkownik nie
> > ma prawa do zapisu i odczytu z DSP, odczytu z hd? czy fd?, itd. Tymczasowo
> > zrobilem chmod a+r dla paru urzadzen, ale domyslam sie, ze jest jakies lepsze
> > rozwiazanie? W RH bylo to chyba cos z pam_console (BTW, podobno sa w tym
> > dziury), jak powinno byc w PLD?
> pam_group. Mozna zrobic tak:
> a) na stale ustawic chmod g+rw /dev/dsp, chown root.audio /dev/dsp

To już jest zrobione:

$ ls -la /dev/dsp*
lrwxrwxrwx    1 root     audio           4 maj 10 22:02 /dev/dsp -> dsp0
crw-rw----    1 root     audio     14,   3 maj 10 21:26 /dev/dsp0
crw-rw----    1 root     audio     14,  19 maj 10 21:26 /dev/dsp1
crw-rw----    1 root     audio     14,  35 maj 10 21:26 /dev/dsp2
crw-rw----    1 root     audio     14,  51 maj 10 21:26 /dev/dsp3

> b) w /etc/security/group.conf dodac:
> *;tty*;*;Al0000-2400;audio

A to trzeba bedzie jeszcze zmienić w kolejnej wersji pam.

Co prawda jest tu pewien kłopot. Jeżli ktoś zaloguje się z konsoli i potem
uruchomi screena, a nastepnie rozłączy sesję i wejdzie zdalnie to procesy
wiszące pod screenem bedą miały dalej uprawnienia do dodatkowych grup.
Niebezpieczeństwa na razie dużego nie widze ale wydaje mi się, że jakieś
konsekwencje negatywne to może mieć chyba mieć.

> przy każdym logowaniu z fizycznej konsoli user będzie dopisywany do
> grupy "audio".
> Można analogicznie zrobić dla flopa, cdromu itp.

Już sam nie wiem jak to jest, bo z mana wynika, że żeby móc zamontować
urządzenie wystarczy mieć uprawnienia do odczytu urządzenia. Mount jednak
sie pluje przy ustawionym sgid=disk i bez suid root że musi mieć
uprawnienia roota. Jeszcze musze to sprawdzić ale wygląda na to, że jest
tu jakiś byk w mount/umount. Jeżeli dałoby sie z tego zrezugnować to
możnaby dać na mount/umount sgid=disk.

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*

Więcej informacji o liście dyskusyjnej pld-devel-pl