Artem Chuprina <[email protected]> writes: > А они точно ограничены? Или они все-таки могут позвать, скажем, > > ntfs-3g -o какие,угодно,опции /dev/sdc1 /usr > > при такой настройке? А то suid я вижу, а упоминаний про /etc/fstab в > man ntfs-3g - нет, и с какого перепугу он не сможет выполнить эту > команду, я не очень понимаю...
Конкретно данную операцию - не сможет. ntfs-3g в качестве точки монтирования допускает только каталоги, в которые юзер имеет права записи. -------------------- $ ntfs-3g /dev/sdc1 /usr ntfs-3g-mount: user has no write access to mountpoint /usr -------------------- Более того, она должна принадлежать юзеру, или хотя бы он должен состоять в группе, имеющей право записи в директорию. Если бит записи есть у всех - примонтировать не удастся. -------------------- $ ntfs-3g /dev/sdc1 /tmp ntfs-3g-mount: mountpoint /tmp not owned by user -------------------- Мне кажется, разработчики хорошо продумали подобные ситуации. Кстати, подобная ситуация и у pmount, если не ошибаюсь. Она предоставляет список устройств, которые имеют право монтировать члены группы plugdev, однако ж ее за suid-бит Вы не ругаете. Или ругаете? > Dmitrii Kashin -> [email protected] @ Mon, 10 Sep 2012 > 15:22:00 +0400: > > DK> Однако и в случае с suid-битом, и в случае c sudo, ntfs-3g работает с > DK> правами root. Так в чем же разница? Почему sudo как решение проблемы > DK> по-вашему лучше, чем suid? > > А sudo позволяет сказать, что Васе можно выполнить mount /mnt/flash, > который сводится к ntfs-3g /dev/sdc1 /mnt/flash но нельзя выполнить > ntfs-3g - /dev/sdc1 /usr. В смысле, я точно уверен, что позволяет. Да, sudo обеспечивает это наверняка. Впрочем, рассуждая таким образом, я, наверное, должен создать в sudoers список из программ, имеющих suid-бит и предусмотреть все случаи их использования пользователем, разрешив ему запускать их _исключительно_ с заданными мной параметрами. Мне кажется, это будет несколько абсудрно. > Ну и да, про отъем этих прав обратно в параллельном письме тоже верно > замечено. На выдачу прав это тоже распространяется, кстати - невозможно > сказать пользователю посреди его сеанса "я тебе дал права, можешь > работать". Сеанс придется закрывать, либо обучать пользователя > ухищрениям вида ssh localhost или (все тот же самый) sudo -u user. Да, это дело, пожалуй. Но вообще, странно слышать, что это минус. Ведь на этом принципе построены права доступа ко всему в системе вообще, и предполагается, что Вы делегируете/отбираете права не так часто и резво. --- Писал письмо во время обеда. Мог быть не точен, ибо спешил. -- ************************************** * jabber: [email protected] * * Registered linux user #546240 * ************************************** -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
