Re: initrd и привелегии по льзователя
On 2008.10.22 at 21:10:27 +0400, sergio wrote: > тут всё намного проще > mktemp создаёт каталог с 700 > кстати, ключей для изменения такого поведения нет. Ну и кто ж им баклан потом cpio архивировать .? Нет бы сделать find * вместо find . - в корне дот-файлов обычно нет. Или даже find . |grep -v '^\.$' В etch это строка 281 в /usr/sbin/mkinitramfs -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: initrd и привелегии по льзователя
On 2008.10.22 at 18:42:37 +0400, sergio wrote: > Victor Wagner wrote: > > >А что показывает ls -ld / и ls -ld /bin? > Блин, всё так банально... > 700 на / Это - знаменитейшая грабля. Обычно бывает из-за каких-нибудь глюков в скрипте, вроде DIR=var/lib/something FILENAME=${DIR}/xxx chmod 0700 /$FILENME на хосте с десятком живых пользователей. Запускаешь такой скрипт из-под рута, а потом удивляешься, почто юзеров так обижают. Я на эти грабли впервые наступил году в 1996. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: initrd и привелегии по льзователя
On 2008.10.21 at 16:07:16 +0400, Artem Chuprina wrote: > > И под какого пользователя там делать privilege separation? В юниксах, > сколь я помню, жестко определен ровно один uid - равный нулю. > > А то может получиться, что система загружена, процесс уже запущен, а > через несколько минут глядь - а он уже из-под совершенно не того юзера > работает... При этом uid-то тот же самый, поэтому права доступа к файлам - не поменяются. А как того юзера в /etc/passwd зовут - не принципиально. Так что соответствие имен и uid-ов на разных файловых системах - это, как обычно, проблема админа. И то, что её необходимо явно решать, не повод создавать файловую систему, нечитаемую ни для кого, кроме рута. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: initrd и привелегии по льзователя
On 2008.10.21 at 15:22:08 +0400, Artem Chuprina wrote: > Victor Wagner -> debian-russian@lists.debian.org @ Tue, 21 Oct 2008 12:04:26 > +0400: > > >> Там, небось, read-only filesystem... > > VW> С какого перепуга? На initrd она обычно rw - почему б и не > VW> позволить на ram-disk писть-то. Другое дело что по хорошему счету > VW> надо разбираться с initramfs-tools - где там в конфигурации > VW> накосячено, что оно с такими правами создается. > > А на кой его создавать с другими правами? Там, напомню, набор > пользователей ни разу не тот, что на "боевой" системе, и посему там > совершенно ни к чему позволять работать от нерута. На базе initrd/initramfs делаются сейчас многие и странные вещи. Поэтому было бы осмысленно делать эту штуку так, чтобы поведение файловой системы соотвеветствовало ожиданиям админа. Мало ли каких сервисы, которые должны работать с ограниченными правами он захочет запускать с initrd. Например, sshd с privelege separation совсем не лишний прибамбас для загрузочного носителя оставленного в дисководе хостингового сервера. > -- > Artem Chuprina > RFC2822: Jabber: [EMAIL PROTECTED] > > Реляционная база данных - это не единственный способ сделать дурацкий поиск. > Victor Wagner > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: initrd и привелегии по льзователя
On 2008.10.21 at 00:23:08 +0400, Artem Chuprina wrote: > Victor Wagner -> debian-russian@lists.debian.org @ Tue, 21 Oct 2008 00:05:57 > +0400: > > Там, небось, read-only filesystem... С какого перепуга? На initrd она обычно rw - почему б и не позволить на ram-disk писть-то. Другое дело что по хорошему счету надо разбираться с initramfs-tools - где там в конфигурации накосячено, что оно с такими правами создается. > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: initrd и привелегии по льзователя
On 2008.10.20 at 18:39:33 +0400, sergio wrote: > Всем привет > > Почему в initrd нельзя выполнять или читать файлы без рутовских привелегий? > > su user выдаёт > Cannot execute /bin/sh: Permission denied > strace показывает > execve("/bin/sh", ["sh"], [/* 27 vars */]) = -1 EACCES (Permission denied) > > и так не только с su и не только на выполнение, но и на чтение. > при этом доступ к файлам нормальный 755 (или 644). А что показывает ls -ld / и ls -ld /bin? А то подобные глюки обычно бывают от того, что неправильные права на корень файловой системы. И очень тяжело додуматься до того, что смотреть надо в корень. Не исключено, что банальный chmod 0755 / перед su спасет смертельно раненного кота. А дальше надо смотреть, почему initrd так его создает. > -- > sergio. > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]