nixp.ru v3.0

23 октября 2017,
понедельник,
09:04:04 MSK

DevOps с компанией «Флант»
anonymous написал 3 мая 2006 года в 23:22 (425 просмотров) Ведет себя неопределенно; открыл 1814 темы в форуме, оставил 5575 комментариев на сайте.

в доках, Егор Шиллинг советует не давать разрешение пользователям на запись в устройство (/dev/sg), а использовать suid — я так и сделал:

#groupadd burn

#chmod 4710 /usr/bin/cdrecord

#chmod 4710 /usr/bin/readcd

#chmod 4710 /usr/bin/cdrdao

#chgrp burn /usr/bin/cdrecord

#chgrp burn /usr/bin/readcd

#chgrp burn /usr/bin/cdrdao

#usermod -G users,burn botrops-schlegelii

команда от пользователя «botrops-schlegelii»:

$cdrecord dev=0,0,0 /etc/shadow

не выполняется

$cdrecord dev=0,0,0 /home/botrops-schlegelii/Mail/incoming/spam

выполняется успешно

-чего и добивался

(Егор писал что cdrecord сбрасывает полномочия )

Вопрос:

а безопасно ли таким образом поменять права на dvd+rw-tools ?:

#groupadd dburn

#chmod 4710 /usr/bin/dvd+rw-mediainfo

#chmod 4710 /usr/bin/dvd-ram-control

#chmod 4710 /usr/bin/dvd+rw-booktype

#chmod 4710 /usr/bin/growisofs

#chmod 4710 /usr/bin/dvd+rw-format

#chgrp dburn /usr/bin/dvd+rw-mediainfo

#chgrp dburn /usr/bin/dvd-ram-control

#chgrp dburn /usr/bin/dvd+rw-booktype

#chgrp dburn /usr/bin/growisofs

#chgrp dburn /usr/bin/dvd+rw-format

#usermod -G users,dburn botrops-schlegelii

я посмотрел исхоники и нашёл там что-то типа

про сброс suid — но не понял …

ps

заранее спасибо за ответ

Genie

а на каком ядре ты это делал?

потому как начиная с 2.6.9 необходимо _снять_ suid с cdrecord, что бы оно вообще заработало.

anonymous

2.4.32-можно считать ваниллой (модули lm_sensors,cdfs)

anonymous

ide-scsi включено

Genie

хз, как оно на 2.4.*… не помню уже. сколько времени прошло — последнее я пробовал, кажется, 2.4.22, да и то, недолго… :)

с точки зрения безопасности — ну. проверь. поставь suid — и попробуй записать на диск какой-нить системный зайл, недоступный пользователю.

кстати. cdrdao не рекомендую делать просто так suid-ным. пошнижение привилегий у него на тот момент. что я пробовал — а это было при переходе 2.6.8->2.6.9 — затирать чужие файлы у меня получалось…

anonymous

проверил — работают dvd+rw-tools-6.1 c suid почти что нормально,

но ,в отличие от cdrtools/cdrdao, есть очень неприятная проблема:

на ~15секунд фризиться вывод символов на консоль и ввод с клавиатуры

(что-то типа — время заполнения буфера + 1секунда_x_max_writing_speed(+0.8%)