Главная страница
О проекте Навигация Контакт
Поиск


ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Victor Wagner                        2:5020/400     05 Jul 2004  15:04:14
 To : Pavel Kazutin
 Subject : Re: SU
 -------------------------------------------------------------------------------- 
 
 Pavel Kazutin <Pavel.Kazutin@p75.f30.n452.z2.fidonet.org> wrote:
 
  PK> ХеЛЛО All
  PK> Сейчас su и sudo pаботают как надо ,но я нифига не понял почему в одном
  PK> дистpе из под su всё pаботает ,а в дpугом нет ??? Где настpаивать SU ???
 
  PK> Тем более Linux не Windows ,надо pазбиpатся что ,где ,почём :) ,а то жить
  PK> не интеpестно :)!!!
 
 Имеют место следующие варианты:
 
 1. Существуют несколько разных реализаций su для Linux.
  Родная GNU-шная очень долго (в связи со странными представлениями
  Столлмана о том, где кончаются права человека и начинается безопасность
  системы) не учитывала группы wheel. Альтернативные - учитывали.
 
 2. Современная su работает через PAM. Соответственно учитывает она или
  не учитывает wheel зависит от точки зрения мейнтейнера соответствующего
  пакета в дистрибутиве. Прописал он pam_wheel.so в /etc/pam.d/su - будет
  учитывать (если сам не закоментаришь). Hе прописал - не будет (если ты сам
  не пропишешь).
  
 Теперь, что касается X window.
 
  X-ы - это сетевая система. В сетевых системах (это касается и x-ов, и
  NFS, и многих других) принято доверять чужому руту гораздо меньше, чем
  чужому обычному юзеру. Потому как юзер это юзер (персона), а рут это
  роль. И кто сейчас на соседней машине эту роль играет, мы не знаем и
  знать не хотим. Поэтому он будет в лучшем случае nobody, а в худшем
  пойдет нафиг, если не представит других доказательств своей
  аутентичности. Если, конечно локальный администратор не велел тем или
  иным способом доверять удаленному руту как себе.
 
 Поэтому, возможность запуска на данном X-овом дисплее программы не от
 имени того пользователя, который владеет сессией, зависит от того,
 насколько секьюрно настроены X-ы в этом дистрибутиве. Если нормально,
 то от программы желающей приконнектиться к дисплею потребуют магическую
 куку. 
 
 Эта кука лежит в файле .Xauthority в домашней директории того юзера,
 который владеет сессией. И по умолчанию берется из файла .Xauthority в
 текущей директории. А не по умолчанию - из файла, на который указывает
 переменная среды XAUTHORITY. 
 
 Соответсвенно, выставив эту переменную в ~нужный-юзер/.Xauthority можно
 дать рутовым программам доступ к дисплею, не пробивая агромадных дыр в
 безопасности системы с помощью xhost.
 
 В файловой-то системе рут - царь и бог и чужой файл с правами 0600
 прочитает.
 
 Конечно, здесь будут грабли если ${HOME} на NFS. Поскольку для NFS чужой
 рут - тоже не рут.
 Hо в случае сложных распределенных систем всё равно рекомендуется
 разобраться с программкой xauth которая позволяет х-овую авторизационную
 куку из одного файла в другой копировать.
 -- 
 --- ifmail v.2.15dev5.3
  * Origin: Free Net of Leninsky,45 (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 SU   Pavel Kazutin   28 Jun 2004 01:00:13 
 Re: SU   Evgeniy Kozhuhovskiy   28 Jun 2004 07:34:30 
 Re: SU   Victor Wagner   05 Jul 2004 15:04:14 
Архивное /ru.linux/15178cc7a27bf.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional