Re: Bug a la instal·lació de postgresql?
Escric ràpid i de memòria perquè tinc poc temps ara mateix, intentaré documentar la resposta millor quan pugui... El 24/9/21 a les 17:58, Alex Muntada ha escrit: [...] - millorar l'script de postinst de postgres perquè utilitzi algun altre mecanisme per canviar a l'usuari postgres Acabo de recordar que fa un temps (oldstable o fins i tot oldoldstable) hi va haver un canvi important a la comanda su, bàsicament hi havia dues implementacions i es va canviar d'una a l'altra per defecte, que tenia algunes subtileses. Crec que es va documentar a les release notes corresponents, a veure si quan pugui ho trobo i ho enllaço. Una de les recomanacions que vaig llegir aleshores era usar la comanda "runuser" quan qui l'executa ja és root, doncs desescala a qualsevol usuari sense demanar autenticació mentre que la resta d'usuaris no la poden executar. No tinc clar si funcionaria en aquest escenari específic que s'ha descrit ni si la presumpció que els postinst s'executen amb permisos de root és sempre certa, per tant no puc valorar si el canvi de su a runuser seria una solució adequada per al paquet.
Re: Bug a la instal·lació de postgresql?
Hola, Julio > la directiva del fitxer > /etc/pam.d/su > és > # auth sufficient pam_rootok.so > Si la descomentem el postgresql funciona.bé, ja que lògicament > ja no demana el pass Confirmo que comentant la directiva em passa el mateix que a vosaltres. Instal·lant dialog em surten els menús de curses per pantalla però la contrasenya no es pregunta amb dialog i per tant no funciona bé. Se m'acuden diferents opcions a explorar: - potser cal tenir instal·lat o activat algun altre component que integri dialog o el que toqui amb el su - millorar l'script de postinst de postgres perquè utilitzi algun altre mecanisme per canviar a l'usuari postgres - instal·lar el postgresql abans de desactivar el pam_rootok > però llavors tenim un "forat" pel ticket de kerberos :) No tinc experiència amb kerberos i no acabo d'entendre això. Vols dir que desactivar el pam_rootok és un requisit per a tenir kerberos? Tenint en compte que root pot afegir fàcilment aquesta directiva un altre cop al fitxer /etc/pam.d/su, no tinc clar què es resol comentant-la (tret que no permetis que root editi aquest fitxer, és clar). -- ⢀⣴⠾⠻⢶⣦⠀ ⣾⠁⢠⠒⠀⣿⡁ Alex Muntada ⢿⡄⠘⠷⠚⠋ Debian Developer log.alexm.org ⠈⠳⣄ signature.asc Description: PGP signature