nixp.ru v3.0

7 декабря 2016,
среда,
15:26:43 MSK

DevOps с компанией «Флант»
Genie написал 30 августа 2004 года в 00:50 (230 просмотров) Ведет себя как мужчина; открыл 40 тем в форуме, оставил 4758 комментариев на сайте.

… через ATA-интерфейс возможна только под рутом.

ошибка на стадии получения возможностей привода

причём в 2.6.7 всё работало замечательно.

так что — не спешите обновляться.

на днях проверю с обновленными версиями cdrecord и cdrdao.

cdrecord 2.0+a27

cdrdao 1.1.9

vovans

Спешим, но на 2.6.9, когда выйдет =)

Кстати, а где БутСплешь достатьможно под новое ядро, кто в курсе?

Genie

Обсуждения по теме на Linux Kernel Mail Lists:

http://lkml.org/lkml/2004/8/15/189

http://lkml.org/lkml/2004/8/15/159

Цитируя Alan Cox ( http://lkml.org/lkml/2004/8/15/200 )

2.6.8 tightened the security of some of the commands. That in part will need adjustment but may mean K3B needs to run as root to burn CD’s on 2.6.8


впрочем, это относится не только к K3B, это относится и к остальным программам, использующим cdrecord.

А между тем, cdrecord имеет suid. Т.е. euid более роли в этом не играет.

Кстати, с cdrdao ситуация иная — suid помогает. Вот только suid на cdrdao — верный способ дать удить систему.

Genie

Читая несколько далее, находим ( http://lkml.org/lkml/2004/8/16/104 ):

Due to the newly added command filtering, you now need to run cdrecord as

root. Since cdrecord will drop root privileges before accessing the drive,

setuid root won’t help.

This means you will have to run cdrecord and k3b as root!

IMHO it is more secure to simply disable filtering, and run the software as non-root.

This patch restores the behaviour of previous kernels, security issues included:

— linux-2.6.8/drivers/block/scsi_ioctl.c~ 2004-08-16 14:16:57.000000000 +0200

+++ linux-2.6.8/drivers/block/scsi_ioctl.c 2004-08-16 14:36:22.562908552 +0200

@@ -196 +196 @@

- if (verify_command(file, cmd))

+/* if (verify_command(file, cmd))

@@ -198 +198 @@

-

+*/

-

И в ответе на это ( http://lkml.org/lkml/2004/8/16/124 ):

I can’t confirm this.

I also have LITE-ON LTR-52327S and suid-root cdrecord burns just fine with

kernel 2.6.8.1. It’s cdrecord 2.00.3 from Slackware. (I don’t use any

graphic front end). cdrecord -checkdrive tells among other things this:

Supported modes: TAO PACKET SAO SAO/R96P SAO/R96R RAW/R16 RAW/R96P RAW/R96R

Хотя Alan Cox ругнулся ( http://lkml.org/lkml/2004/8/16/130 ):

> This patch restores the behaviour of previous kernels, security issues included:

Like allowing any user to erase your drive firmware. What you could do

which is much more useful is printk the command byte that gets refused

and see if you can pin down what commands are being blocked that

are needed by K3B

———

Мдааааааааа….. :(

fly4life

Нда… Т.е. дело вовсе не в глюке ядра 2.6.8.1, а cdrecord теперь нужно будет всегда (и в 2.6.9, и в 2.6.10, и в…) пускать под рутом?

Genie
Нда… Т.е. дело вовсе не в глюке ядра 2.6.8.1, а cdrecord теперь нужно будет всегда (и в 2.6.9, и в 2.6.10, и в…) пускать под рутом?


Мммм.. как раз в 2.6.8.1 и дело.

Ужесточена политика в плане безопасности scsi команд.

Тем самым появляется противоречие: с одной стороны, надо как бы разрешить простым смертным писать на cd/dvd, а с другой стороны — надо защитить hdd от уничтожения информации теми *же* командами.

Genie

некоторый вариант решения этой проблемы: http://lkml.org/lkml/2004/8/17/233

надо бы проверить, так как комментариев к этому не присутствует. и это за 2 недели-то…

Longobard

в ck это пофиксено. Юзайте ck :) kernel.kolivas.org

Genie

единственный патч, который мне нужен — я и руками прикручу.

большего мне не надо.

откат на 2.6.7 — в свете использования nfs — не является разумным решением. впрочем, не является так же и разумным по причинам, описанным в отцитированных участках.

разбираться как оно реализовано в ck — особого желания нет. может ты просветишь кусочком патча? :)

Longobard
Genie
единственный патч, который мне нужен — я и руками прикручу.

большего мне не надо.

откат на 2.6.7 — в свете использования nfs — не является разумным решением. впрочем, не является так же и разумным по причинам, описанным в отцитированных участках.

разбираться как оно реализовано в ck — особого желания нет. может ты просветишь кусочком патча? :)

так же как и тут :) Просто Коливас этот патчик (который ты привел выше) засунул в 2.6.8.1-ck1 и выше.

Genie

Нолемоций :(((

прикрутился патчик на ура

только cdrecord при попытке записи болванки в лог пишутся сообщения об ошибке при выполнении scsi команды с кодом 0×0.

Longobard
Genie
Нолемоций :(((

прикрутился патчик на ура

только cdrecord при попытке записи болванки в лог пишутся сообщения об ошибке при выполнении scsi команды с кодом 0×0.

Это вроде INQUIRY

Dreid

Кстати, вот еще тред по этой теме (вроде бы там решили кусочек проблемы):

http://lkml.org/lkml/2004/8/30/287

Genie

да, такое решение в процитированном мною есть…

чтож, придётся попробовать именно его, раз более «идеологически правильный» вариант не работает (пока не работает)