Spec. linux jogok - LOGOUT Hozzászólások

Hirdetés

Legfrissebb anyagok

LOGOUT témák

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

Aktív témák

#8 WN31RD addikt FastCatch #7

2004-07-23 15:44:19 #8
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

WN31RD

addikt

válasz FastCatch #7 üzenetére

Kipróbáltam, és tényleg nem megy... :((( :F

Nyomoztam kicsit a kernel forrásban (2.6-os) a probléma után, és úgy tűnik, a ''kernel capabilities'' funkció okozza a gondot. Ugyanis nem csak az ioperm()-hez, hanem a /dev/port megnyitásához is szükséges a CAP_SYS_RAWIO, ld.: kernel forrás drivers/char/mem.c, open_port().

Ha a default capabilites nincsen aktiválva (capability kernel modul), akkor a root processzeknek megvan minden capability, a többinek pedig semmi, és ezen nem lehet változtatni, ld. kernel forrás security/dummy.c, dummy_capable().

Megoldási javaslatok (nem próbáltam ki):
a. root-ként induljon a processz, aztán dobálja el a privilégiumait, amint megnyitotta a /dev/port-ot
b. root-ként induljon egy kisegítő processz, ami mondjuk egy socket-en keresztül átad egy file descriptor-t a /dev/port-ra
c. kapcsold be a linux capabilites-t, és - pl. a PAM segítségével - add meg a CAP_SYS_RAWIO-t a kérdéses júzernek
d. piszkálj bele a kernelbe valamelyik helyen, amit említettem

Érdekelne a kipróbált, működő megoldás, ha majd meglesz. :)
#7 FastCatch csendes tag WN31RD #6

2004-07-23 12:57:29 #7
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

FastCatch

csendes tag

válasz WN31RD #6 üzenetére

A kódrészlet, amin a hiba keletkezik:

bool OpenIOChannel()
{
Ports = open (''/dev/port'', O_RDWR | O_NDELAY );
return ( Ports > 0 );
}

Egy debugger-rel megnézve, az open -1-re állítja a Ports-ot, ha nem root
vagyok és az errno 1.

???

Vicces módon különben a kmem group-nak az egyetlen tagja az a user,akit
felvettem, a root nincs benne...

Sőt, ha a /dev/port-ra mindenkinek rw jogot adok (chmod a+rw /dev/port), akkor
_sem_ fut le a kód. Na ezt már végképp nem értem.

***

SZERK: a kód beillesztése nem sikerült...

[Szerkesztve]
#6 WN31RD addikt FastCatch #5

2004-07-23 12:05:47 #6
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

WN31RD

addikt

válasz FastCatch #5 üzenetére

Teljesen biztos, hogy a /dev/port-ot használja az a program, és csak azt? Nem lehet, hogy valami más (is) kell neki? A portokat másképp is el lehet érni, pl. az ioperm(), stb. módszerrel, és ahhoz bizony kell a root jog (legalábbis indításkor).

[Szerkesztve]
#5 FastCatch csendes tag WN31RD #4

2004-07-23 12:03:01 #5
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

FastCatch

csendes tag

válasz WN31RD #4 üzenetére

Igen (most már, hogy mondtad :) ), de sajnos nem segített. Ha root-ként futtatom a progit, akkor OK, ha a user-rel, akkor nem OK...
#4 WN31RD addikt FastCatch #3

2004-07-23 11:45:57 #4
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

WN31RD

addikt

válasz FastCatch #3 üzenetére

Ha a /dev-be bele tud menni a júzer, és listázni tudja a tartalmát, márpedig tudja (r-x jogok), az elég. Onnantól kezdve már az egyes file-okhoz (pl. /dev/port) rendelt jogok számítanak.
Elvileg elég, ha a júzer tagja egy olyan csoportnak, amelyik írni tud a device-ba. Nem tudom, mi kellene még, de biztos nem a /dev jogaival van baj.
A csoporthoz való hozzáadás után csináltál egy ki-be jelentkezést a júzerrel?
#3 FastCatch csendes tag WN31RD #2

2004-07-23 11:36:12 #3
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

FastCatch

csendes tag

válasz WN31RD #2 üzenetére

Azzal kezdtem, hogy kísérletképpen hozzátettem a usert a kmem csoporthoz, de ez nem látszik elégnek. Szerint az is baj, hogy a /dev-et a root-on kívül mindenki csak olvashatja -- vagy ez hülyeség? Akkor csináljam azt, hogy felveszek ahhoz (is) egy új csoportot és beleteszem a root-ot, meg a usert?

FC
#2 WN31RD addikt FastCatch #1

2004-07-23 11:28:40 #2
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

WN31RD

addikt

válasz FastCatch #1 üzenetére

Csinálj egy új csoportot, pl. dev-port, változtasd meg a /dev/port csoportját az új csoportra, és vedd fel a csoport tagjai közé a kérdéses júzert.
#1 FastCatch csendes tag

2004-07-23 11:25:15 #1
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

FastCatch

csendes tag

Sziasztok!

Az a kérdésem, hogy hogyan lenne legcélszerübb elérni, hogy egy userx nevű user tudja _írni_ a /dev/port-ot. nem t'om mi az általános, ezért leírom:

[CODE]
drwxr-xr-x root root /dev
crw-rw---- root kmem /dev/port
[/CODE]

nekem az kell, hogy a userx tudja írni/olvasni a /dev/port-ot, a root értelemszerűen maradjon meg jogaiban, de a többi usernek nem akarnék feleslegesen jogokat osztogatni (úgy olyan eccerű lenne, hogy nem kérdeznék :P).

Előre is kösz,

FC