Frozen Fido : RU.LINUX : Re: Bluetooth permissions

ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Eugene B. Berdnikov                  2:5020/400     16 May 2006  22:08:26
 To : Michael Kazakov
 Subject : Re: Bluetooth permissions
 --------------------------------------------------------------------------------

 Michael Kazakov <kazakov@fintech.ru> wrote:

 MK> berd@desert.ihep.su (Eugene B. Berdnikov) writes:
 MK> 
 >>  Обычно права проверяет ядро. В редких случаях типа pppd,
 >>  установленного как setuid root, сам pppd тоже делает нужные проверки
 >>  и в этом плане вполне управляем со стороны администратора. См. man
 >>  pppd, +/SECURITY.
 MK> 
 MK> К pppd есть и свои претензии: возможно ли сделать так, чтобы
 MK> пользователь мог заводить и поднимать pptp линк, не обращаясь к руту, не

  Как раз об этом в man pppd и говорится. Конфигурить линк, также как и
  создавать сетевые устройства в работающей системе дозволено только руту.
  Hо поднять "свой" линк юзер может - дав pppd параметр "call vasya",
  при условии что права доступа к /etc/ppp/peers/vasya ему это позволяют.

  Для pptp в peers/vasya, насколько я понимаю, надо написать такую строчку:
  pty "/usr/sbin/pptp pptp.vasya.ru --nolaunchpppd".

  Помнится, я наступал на забавные грабли: поднять линк юзер может,
  а вот убить - хрен там. Ядро не позволяет передать сигнал процессу,
  работающему под uid=0. :) Правда, это было давно, может быть, я что-то
  упустил, но тогда просто сделал suid-ную командочку для гашения pppd.

 MK> светя паролем в строке вызова pppd, желательно вообще вводить пароль
 MK> интерактивно только при поднятии линка и нигде его не хранить? Ещё бы

  По-моему, никак. Прописать ppp-пароль юзеру может только рут.

 MK> сделать так, чтобы поднятый линк только этому пользователю и был виден,
 MK> но это, наверное, через динамическое прописывание правил в ipfw или как
 MK> его там сейчас. Делал ли кто-нибудь такое?

  Сетевое устройство будет видно всем. И маршруты по юзерам не поделишь.

  Hо некие ограничения доступа по юзерам в принципе можно сделать через
  iptables -m owner, вызвав его из какого-нибудь ip-up.
  Скрипты pppd выполняет под uid=0, так что iptables должен работать.
 -- 
  Eugene Berdnikov
 --- ifmail v.2.15dev5.3
  * Origin: Institute for High Energy Physics, Protvino, Russia (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Bluetooth permissions	Michael Kazakov	15 May 2006 19:53:16
Re: Bluetooth permissions	Victor Wagner	15 May 2006 20:18:44
Re: Bluetooth permissions	Michael Kazakov	15 May 2006 20:53:19
Re: Bluetooth permissions	Victor Wagner	15 May 2006 23:32:03
Re: Bluetooth permissions	Michael Kazakov	16 May 2006 15:23:27
Re: Bluetooth permissions	Sergej Pupykin	15 May 2006 21:01:27
Re: Bluetooth permissions	Michael Kazakov	15 May 2006 21:23:11
Re: Bluetooth permissions	Victor Wagner	15 May 2006 23:30:02
Re: Bluetooth permissions	Sergej Pupykin	16 May 2006 13:01:44
Re: Bluetooth permissions	Victor Wagner	16 May 2006 14:11:53
Re: Bluetooth permissions	Sergej Pupykin	16 May 2006 17:02:06
Re: Bluetooth permissions	Michael Kazakov	16 May 2006 15:23:26
Re: Bluetooth permissions	Victor Wagner	16 May 2006 20:56:51
Re: Bluetooth permissions	Michael Kazakov	17 May 2006 12:38:08
Re: Bluetooth permissions	Victor Wagner	17 May 2006 13:35:15
Re: Bluetooth permissions	Michael Kazakov	17 May 2006 15:08:27
Re: Bluetooth permissions	Victor Wagner	17 May 2006 15:52:05
Bluetooth permissions	Anton Shuko	18 May 2006 02:30:34
Re: Bluetooth permissions	Victor Wagner	18 May 2006 08:31:47
Re: Bluetooth permissions	Eugene B. Berdnikov	16 May 2006 00:08:04
Re: Bluetooth permissions	Michael Kazakov	16 May 2006 15:23:26
Re: Bluetooth permissions	Eugene B. Berdnikov	16 May 2006 22:08:26
Re: Bluetooth permissions	Oleg Nosov	17 May 2006 11:34:07
Re: Bluetooth permissions	Michael Kazakov	17 May 2006 13:08:08
Re: Bluetooth permissions	Peter Irich	18 May 2006 22:42:39

Архивное /ru.linux/365110120be4.html, оценка 2 из 5, голосов 10