suid manager
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Śro, 24 Lip 2002, 18:13:20 CEST
On Wed, 24 Jul 2002, Blues wrote:
[..]
> > > Przydatne suidy, które chętnie bym widział: smbmnt, cdrecord. Dzięki
> > > capsel-owi też nie są potrzebne. A jeżeli ktoś go nie ma/nie chce to można
> > > dać, ale wtedy właśnie kłania się jakiś suid-manager.
> > > I tak można przytaczać w nieskończoność...
> > Wiesz że nie jest to kwestia suidów tylko większej gradacji uprawnień
> > opartej o CAP_*. Tutaj długodystansowe rozwiązanie co takzę wiesz powinno
> > iść w kierunku fcap a nie takich protez jak capsel.
>
> capsel nie jest protezą, ale rozwiązaniem od innej strony. Też dobrym. I
> działającym bardzo ładnie.
>
> Poza tym capsel już istnieje i jest możliwy do wykorzystania w tym
> momencie. Natomiast fcap nie jest u nas w żaden sposób przygotowany. Poza
> tym AFAIK to jest aktualnie tylko na ext2 - co z innymi systemami plików?
> Pokaż mi jakikolwiek opis tego... Jakieś implementacje? Cokolwiek?
> Wsparcie w rpm-ie? hmm?
Nic z tych rzeczy :) Patcha na fcap nakłada się w sytuacji kiedy ma się
wsparcie w postaci extattr+acl, a to w tej chwili nie jest już dostępne li
tylko na ext2/ext3.
FCAP jak Ci mówiłem już kilak razy masz pod nosem na każdym mirorrze
ftp.kernel.org (jest nawet patch do 2.2 bo jest to rozwiązanie
opracowywane od ca~ dwuch jak nie trzech lat ale słabo promowane na
k-l).
Można to znaleźć na:
ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.{2,4}-fcap/
IMHO po dostosowaniu patcha do 2.2 możnaby to nawet włożyc w kernel
dystrybucyjny (włącza się to przez podmontownaie z opcją zdaje się "fcap")
żeby było pod ręką o opracowywanai adaptacji rpm-a. Niemniej o ile fcap do
2.4 jest w maire świerzy to wersja do 2.2 wymaga adaptracji bo w
miezyczasiepozmienaiły się (ale o tyle dobzre że są to zmiany 1:1 wiec
łatwo bęzie to dostosować tylko tzreba to zrobić uważnie bo zmiany tzreba
wykonać w patchu w parudziesiat miejscach) nazwy definicji w kernelu (po
ujednolicaniu wołań systemowych dla ACL/ExtAttr w >= 2.4).
kloczek
--
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-devel-pl