From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <ldv@altlinux.ru>
Date: Mon, 7 Oct 2002 13:36:01 +0400
From: "Dmitry V. Levin" <ldv@altlinux.org>
To: ALT Devel discussion list <devel@altlinux.ru>
Subject: Re: [devel] Re: IA: /usr/sbin/gnome-pty-helper
Message-ID: <20021007093601.GD31447@basalt.office.altlinux.ru>
Mail-Followup-To: ALT Devel discussion list <devel@altlinux.ru>
References: <OFDC186D94.024DBF35-ONC6256C49.003B7EAC-C6256C49.003BB1E2@novosoft.ru> <20021006201904.GB25012@basalt.office.altlinux.ru> <20021007071558.GD11539@pyro.hopawar.private.net>
Mime-Version: 1.0
Content-Type: multipart/signed; micalg=pgp-sha1;
	protocol="application/pgp-signature"; boundary="65ImJOski3p8EhYV"
Content-Disposition: inline
In-Reply-To: <20021007071558.GD11539@pyro.hopawar.private.net>
X-fingerprint: 9658 398D 181B 1200 8FC5  26B8 F6F8 846B C1E2 3429
Sender: devel-admin@altlinux.ru
Errors-To: devel-admin@altlinux.ru
X-BeenThere: devel@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: devel@altlinux.ru
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=unsubscribe>
List-Id: <devel.altlinux.ru>
List-Post: <mailto:devel@altlinux.ru>
List-Help: <mailto:devel-request@altlinux.ru?subject=help>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=subscribe>
List-Archive: <http://altlinux.ru/pipermail/devel/>
Archived-At: <http://lore.altlinux.org/devel/20021007093601.GD31447@basalt.office.altlinux.ru/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

--65ImJOski3p8EhYV
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

On Mon, Oct 07, 2002 at 02:15:58PM +0700, Alexey Morozov wrote:
> > > >Одновременно придется запретить им создавать новые файлы.
> > > Почему? По-хорошему же, fsgid меняется вместе с egid. Или не меняется? А
> > > setfsgid не поможет?
> > Нет, поскольку смена egid влечет за собой смену fsgid.
> Дык тогда все хорошо? Главное - сбросить egid до gid до создания
> каких-либо файлов. Или я чего-то недопонимаю в процессе?

Запускающий helper процесс должен входить в группу utempter.
Если он сбросит права раньше срока, то получит EACCES.
Если он их не сбросит до инициализации Gtk, то последний его пошлет.
Если же он выставит все group IDs в utempter, то получается ерунда с
доступом к файловой системе - отсюда и запрет на создание файлов.

> > Конечно, можно сделать fork+pipe, но это уже совсем другая история.
> Хмм... Из пушки...

Зато реально. Других рабочих вариантов до сих пор предложено не было.


--
ldv

--65ImJOski3p8EhYV
Content-Type: application/pgp-signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)

iD8DBQE9oVWB9viEa8HiNCkRAlnlAJsH6CT4JiiE/ka5bwMxcalizqfivQCfYYr8
bgNJbyKvAARyaKZw/YagAh0=
=aZBw
-----END PGP SIGNATURE-----

--65ImJOski3p8EhYV--