suid manager

[Tomasz Kłoczko]

On Wed, 24 Jul 2002, Blues wrote:

> On Wed, 24 Jul 2002, Tomasz Kłoczko wrote:
> > > w związku z capselem...
> > > jest może w pld coś w stylu suid managera? albo wogole jakiś inny
> > > programik który by pilnował ustawionych przez administratora praw, tak
> > > aby po upgrade systemu ping ciągle był bez suida? ;)
> > > albo jest wogóle coś takiego przewidziane?
> > Przykładowo ping ma suid root ale tylko dla grupy adm.
> > IMHO jest to w zupełności wystarczające.
> > W takim rozwiązaniu spodziewanie się "ataku" ze strony kogoś zaufanego 
> > trąciłoby paranoją.
> 
> Ale  - dzięki capsel-owi możesz tego suida wogóle nie mieć. Za darmo.

Ale capsel nie jest tu potrzebny .. chyba że potrafisz wykazać jest 
inaczej :)

> Poza tym to administrator powinien decydować na jaki stopień paranoi się
> decyduje. Dlaczego ty chcesz za niego decydować? Niektórzy lubią pingi na 
> firewallach wycinać, i co z tego? Ich prawo.

Bardzo proszę. To kjego decyzja. niemniej na poziomie dystrybucji 
uprawianie paranicznych zachowań byłoby bliskie innym "odchyłkom" :)

> Przydatne suidy, które chętnie bym widział: smbmnt, cdrecord. Dzięki
> capsel-owi też nie są potrzebne. A jeżeli ktoś go nie ma/nie chce to można
> dać, ale wtedy właśnie kłania się jakiś suid-manager.
> 
> I tak można przytaczać w nieskończoność...

Wiesz że nie jest to kwestia suidów tylko większej gradacji uprawnień
opartej o CAP_*. Tutaj długodystansowe rozwiązanie co takzę wiesz powinno 
iść w kierunku fcap a nie takich protez jak capsel.

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*