On 2004-08-16 Sven Hartge <[EMAIL PROTECTED]> wrote: > Andreas Metzler <[EMAIL PROTECTED]> wrote: > > On Mon, Aug 16, 2004 at 04:27:51PM +0200, Christoph Wegscheider wrote:
> >> Hier nochmal fuer die Liste: > >> http://marc.theaimsgroup.com/?l=linux-kernel&m=109265946604538&w=2 > >> # Due to the newly added command filtering, you now need to run cdrecord > >> # as root. Since cdrecord will drop root privileges before accessing the > >> # drive, setuid root won't help. > °°°°°°°°°°°°°°°°°°°°°°° > >> Der wuerde wohl dann darin bestehen das cdrecord die root Rechte > >> behaelt und standardmaeszig mit setuid root laeuft? Nicht schoen, > >> nicht geeignet fuer sarge? > > So weit ich das verstehe wird SUID root ein Muss, ja. > So wie ich das lese, reicht nur SUID _nicht_ mehr aus, weil cdrecord die > Privilegien wegwirft, bevor es auf das Device zugreift. Eben darum folgt "ausserdem ...". ;-) Denn ... > > Ausserdem muss cdrecord zumindest CAP_SYS_RAWIO behalten. ... damit man CAP_SYS_RAWIO ueberhaupt hat und behalten kann, sind afaik superuser Privilegien noetig. - Oder haben wir inzwischen filesystem capabilities, das Analogon zum SUID bit fuer capabilities, im vanilla Kernel? > Es müßte wohl reichen, wenn es wie bisher die Rechte wegwirft, aber eben > jenes beibehält. Was für Lücken das dann wieder aufreisst, weiss wohl > bisher niemand. Genau, die Diskussion auf lkml ist work in progress. cu andreas -- "See, I told you they'd listen to Reason," [SPOILER] Svfurlr fnlf, fuhggvat qbja gur juveyvat tha. Neal Stephenson in "Snow Crash" -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
