Prawa dostepu do urzadzen
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Czw, 25 Maj 2000, 01:02:54 CEST
On Wed, 24 May 2000, Jan Rekorajski wrote:
> [środa, 24 maj 2000], Tomasz Kłoczko napisał(a):
>
> > CAP_SYS_ADMIN jest stanowczo za szerokie. Byłoby do przjęcia gdyby w ext2
> > było można ustawić CAP_SYS_ADMIN dla uruchamianej binarki mount/umount, bo
> > jakieś nadawanie generalnie wszystkim procesom CAP_SYS_ADMIN poprzez
> > pam_cap w np. /etc/pam.d/{login,xdm,gdm,kdm} byłoby wyważaniem dżwi z
> > całym budynkiem. Może jakaś przeróbka mount/umount żeby programy używały
> > pam i żeby w pliku autentykacji dla tych programów był używany moduł
> > pam_cap coś by rozwiązało (wydaje się, że tak). Janek co Ty na to ?
>
> IMO ma to mały sens. Takie mnożenie bytów. Bo nawet jak dasz auth przez
> pam to musisz zrobić dodatkową grupę dla tych co mogą używać (u)mount.
> To już prościej dać im sudo.
>
> BTW a nie ma jakiegoś mniejszego CAP_ który by wystarczał?
Nie ma.
Czyli pozostaje kwestia rozsądnego modelu w podejściu do montowania.
Jedno takie rozwiązanie jest. Opiera się o automonter ale nie jest to też
takie do końca akceptowalne.
Na razie w rakim razie proponowałbym żeby utrzymać stan obecny w którym
nie mamy suidów w pakietach na mount/umount.
kloczek
--
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-devel-pl