Re: initrd и привелегии по льзователя
On 2008.10.22 at 21:10:27 +0400, sergio wrote: > тут всё намного проще > mktemp создаёт каталог с 700 > кстати, ключей для изменения такого поведения нет. Ну и кто ж им баклан потом cpio архивировать .? Нет бы сделать find * вместо find . - в корне дот-файлов обычно нет. Или даже find . |grep -v '^\.$' В etch это строка 281 в /usr/sbin/mkinitramfs -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: initrd и привелегии по льзователя
On 2008.10.22 at 18:42:37 +0400, sergio wrote:
> Victor Wagner wrote:
>
> >А что показывает ls -ld / и ls -ld /bin?
> Блин, всё так банально...
> 700 на /
Это - знаменитейшая грабля. Обычно бывает из-за каких-нибудь глюков в
скрипте, вроде
DIR=var/lib/something
FILENAME=${DIR}/xxx
chmod 0700 /$FILENME
на хосте с десятком живых пользователей. Запускаешь такой скрипт из-под
рута, а потом удивляешься, почто юзеров так обижают.
Я на эти грабли впервые наступил году в 1996.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: initrd и привелегии по льзователя
On 2008.10.21 at 16:07:16 +0400, Artem Chuprina wrote: > > И под какого пользователя там делать privilege separation? В юниксах, > сколь я помню, жестко определен ровно один uid - равный нулю. > > А то может получиться, что система загружена, процесс уже запущен, а > через несколько минут глядь - а он уже из-под совершенно не того юзера > работает... При этом uid-то тот же самый, поэтому права доступа к файлам - не поменяются. А как того юзера в /etc/passwd зовут - не принципиально. Так что соответствие имен и uid-ов на разных файловых системах - это, как обычно, проблема админа. И то, что её необходимо явно решать, не повод создавать файловую систему, нечитаемую ни для кого, кроме рута. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: initrd и привелегии по льзователя
On 2008.10.21 at 15:22:08 +0400, Artem Chuprina wrote: > Victor Wagner -> debian-russian@lists.debian.org @ Tue, 21 Oct 2008 12:04:26 > +0400: > > >> Там, небось, read-only filesystem... > > VW> С какого перепуга? На initrd она обычно rw - почему б и не > VW> позволить на ram-disk писть-то. Другое дело что по хорошему счету > VW> надо разбираться с initramfs-tools - где там в конфигурации > VW> накосячено, что оно с такими правами создается. > > А на кой его создавать с другими правами? Там, напомню, набор > пользователей ни разу не тот, что на "боевой" системе, и посему там > совершенно ни к чему позволять работать от нерута. На базе initrd/initramfs делаются сейчас многие и странные вещи. Поэтому было бы осмысленно делать эту штуку так, чтобы поведение файловой системы соотвеветствовало ожиданиям админа. Мало ли каких сервисы, которые должны работать с ограниченными правами он захочет запускать с initrd. Например, sshd с privelege separation совсем не лишний прибамбас для загрузочного носителя оставленного в дисководе хостингового сервера. > -- > Artem Chuprina > RFC2822: Jabber: [EMAIL PROTECTED] > > Реляционная база данных - это не единственный способ сделать дурацкий поиск. > Victor Wagner > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: initrd и привелегии по льзователя
On 2008.10.21 at 00:23:08 +0400, Artem Chuprina wrote: > Victor Wagner -> debian-russian@lists.debian.org @ Tue, 21 Oct 2008 00:05:57 > +0400: > > Там, небось, read-only filesystem... С какого перепуга? На initrd она обычно rw - почему б и не позволить на ram-disk писть-то. Другое дело что по хорошему счету надо разбираться с initramfs-tools - где там в конфигурации накосячено, что оно с такими правами создается. > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: initrd и привелегии по льзователя
On 2008.10.20 at 18:39:33 +0400, sergio wrote:
> Всем привет
>
> Почему в initrd нельзя выполнять или читать файлы без рутовских привелегий?
>
> su user выдаёт
> Cannot execute /bin/sh: Permission denied
> strace показывает
> execve("/bin/sh", ["sh"], [/* 27 vars */]) = -1 EACCES (Permission denied)
>
> и так не только с su и не только на выполнение, но и на чтение.
> при этом доступ к файлам нормальный 755 (или 644).
А что показывает ls -ld / и ls -ld /bin?
А то подобные глюки обычно бывают от того, что неправильные права на
корень файловой системы. И очень тяжело додуматься до того, что смотреть
надо в корень. Не исключено, что банальный
chmod 0755 /
перед su спасет смертельно раненного кота. А дальше надо смотреть,
почему initrd так его создает.
> --
> sergio.
>
>
> --
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact
> [EMAIL PROTECTED]
>
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
