From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: Shawkat To: community@altlinux.ru Subject: Re: [Comm] Groups Date: Sat, 5 Jul 2003 11:28:58 +0500 User-Agent: KMail/1.5 References: <200307041515.46634.shawkat@samitc.uzsci.net> <200307051042.43840.shawkat@samitc.uzsci.net> <200307051314.56486.den@academ.org> In-Reply-To: <200307051314.56486.den@academ.org> MIME-Version: 1.0 Content-Type: text/plain; charset="koi8-u" Content-Transfer-Encoding: 8bit Content-Disposition: inline Message-Id: <200307051128.58940.shawkat@samitc.uzsci.net> X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.1 Precedence: list Reply-To: community@altlinux.ru List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 05 Jul 2003 06:38:11 -0000 Archived-At: List-Archive: List-Post: > Технически это, конечно, возможно, хотя и крайне некрасиво, поскольку > подразумевает вызов из ядра user-space программ и массу других проблем. Ничего подобного! Через все это система проходит как минимум один раз - при авторизации пользователя. Единственно мне хотелось бы чтобы процесс определения прав выполнялся бы не один-единственный раз при авторизации (а потом этот результат все время использовался бы ), а при каждой необходимости. > Но дело не в этом, а в том кто обладает правами: процесс или > пользователь. В текущей реализации это процесс, а Вы предлагаете > наделить правами пользователя. Первая схема гораздо более гибкая, > поскольку позволяет процессам отказываться от лишних прав, или получать > дополнительные. Вот вот - объясните-те ка мне- как какому-либо процессу добавить прав не прерывая его. Например, как довесить права процессу bash пользователя на какой-либо файл (через механизм группы, а не через права файловой системы). PS. я не понимаю разницы между процессом и пользователем - ведь каждый процесс запущен каким-либо пользователем и обладает его правами (за исключением особых случаев - suid/gid/ drop root ), тогда как пользователя как такового в системе просто не существует - он может быть представлен только как процесс. >>From den@academ.org Sat Jul 5 11:00:54 2003 Return-Path: Delivered-To: community@lrn.ru Received: from master.altlinux.ru (master.altlinux.ru [62.118.250.235]) by lrn.ru (Postfix) with ESMTP id 1B2214916E for ; Sat, 5 Jul 2003 11:00:54 +0400 (MSD) Received: from mail.academ.org (mail.academ.org [81.1.226.250]) by master.altlinux.ru (Postfix) with ESMTP id AE416E31CF for ; Sat, 5 Jul 2003 11:00:53 +0400 (MSD) Received: by mail.academ.org (Postfix, from userid 426) id C57D26350A; Sat, 5 Jul 2003 14:00:51 +0700 (NOVST) Received: from den.academ.org (den.academ.org [81.1.226.9]) by mail.academ.org (Postfix) with ESMTP id A973663333 for ; Sat, 5 Jul 2003 14:00:51 +0700 (NOVST) From: "Denis S. Filimonov" To: community@altlinux.ru Subject: Re: [Comm] Groups Date: Sat, 5 Jul 2003 14:00:51 +0700 User-Agent: KMail/1.5 References: <200307041515.46634.shawkat@samitc.uzsci.net> <200307051314.56486.den@academ.org> <200307051128.58940.shawkat@samitc.uzsci.net> In-Reply-To: <200307051128.58940.shawkat@samitc.uzsci.net> MIME-Version: 1.0 Content-Type: text/plain; charset="koi8-u" Content-Transfer-Encoding: 8bit Content-Disposition: inline Message-Id: <200307051400.51474.den@academ.org> X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.1 Precedence: list Reply-To: community@altlinux.ru List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 05 Jul 2003 07:00:54 -0000 On Saturday 05 July 2003 13:28, Shawkat wrote: > > Технически это, конечно, возможно, хотя и крайне некрасиво, > > поскольку подразумевает вызов из ядра user-space программ и массу > > других проблем. > > Ничего подобного! Через все это система проходит как минимум один раз > - при авторизации пользователя. Единственно мне хотелось бы чтобы > процесс определения прав выполнялся бы не один-единственный раз при > авторизации (а потом этот результат все время использовался бы ), а > при каждой необходимости. > Нет, при аутентификация все происходит в естественном порядке - из user space в kernel (login просит ядро изменить ему uid'ы, группы, и т.п.), а если для авторизации потребуется узнать что-либо о пользователе, то такая потребность возникнет в ядре и обращаться ему придется к user-space программам, ответственным за хранение информации о пользователях. > > Но дело не в этом, а в том кто обладает правами: процесс или > > пользователь. В текущей реализации это процесс, а Вы предлагаете > > наделить правами пользователя. Первая схема гораздо более гибкая, > > поскольку позволяет процессам отказываться от лишних прав, или > > получать дополнительные. > > Вот вот - объясните-те ка мне- как какому-либо процессу добавить прав > не прерывая его. Например, как довесить права процессу bash > пользователя на какой-либо файл (через механизм группы, а не через > права файловой системы). > setuid, seteuid, etc. Разумеется _лишних_ привелегий получить нельзя, но та же setuid'ная программа может на время работать с правами запустившего пользователя, а потом вернуться к привелегированному. > PS. я не понимаю разницы между процессом и пользователем - ведь > каждый процесс запущен каким-либо пользователем и обладает его > правами (за исключением особых случаев - suid/gid/ drop root ), тогда > как пользователя как такового в системе просто не существует - он > может быть представлен только как процесс. Вообще-то у процесса целых 4(!) uid'а, это так, к слову :-) Разница в том, что пользователь, как и группа, всего лишь один из атрибутов процесса, которые используются при авторизации. Есть и другие, например, так называемые capabilities. Если для авторизации использовать только пользователя и группу получится заведомо менее гибкая схема. -- Sincerely, Denis. >>From siba3000@bk.ru Sat Jul 5 11:07:03 2003 Return-Path: Delivered-To: community@lrn.ru Received: from master.altlinux.ru (master.altlinux.ru [62.118.250.235]) by lrn.ru (Postfix) with ESMTP id 41D9A4916E for ; Sat, 5 Jul 2003 11:07:03 +0400 (MSD) Received: from ns.tagnet.ru (ns.tagnet.ru [80.78.104.1]) by master.altlinux.ru (Postfix) with ESMTP id 0DE46E31CF for ; Sat, 5 Jul 2003 11:07:03 +0400 (MSD) Received: from p-218.tagnet.ru ([213.141.225.218]) by ns.tagnet.ru with esmtp (Exim 4.20) id 19Yh8P-0006RW-Ms for community@altlinux.ru; Sat, 05 Jul 2003 13:07:02 +0600 From: ILYA Sibgatullin To: community@altlinux.ru Date: Sat, 5 Jul 2003 13:05:17 +0600 User-Agent: KMail/1.5 MIME-Version: 1.0 Content-Disposition: inline Content-Type: text/plain; charset="koi8-r" Content-Transfer-Encoding: 8bit Message-Id: <200307051305.17560.siba3000@bk.ru> Subject: [Comm] supermount X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.1 Precedence: list Reply-To: community@altlinux.ru List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 05 Jul 2003 07:07:04 -0000 Добрый день комьюнити! Вот есть у меня ALTJ 2.2 с добавлениями из Сизифа (не системные -- k3b, MPlayer, etc). Очень хочеться приделать к нему supermount. Поэтому подскажите, как это сделать (вариант - где прочитать). В ответах просьба учесть, что у меня диалап, поэтому сливать больше десяти метров для меня никак не подходит. -- ... With Best Regards, ILYA Sibgatullin --- KMail 1.5/LNX on ALT Linux Junior 2.2 * Origin: -- Share the world -- (siba3000@bk.ru) >>From tacitpro@inbox.ru Sat Jul 5 11:17:48 2003 Return-Path: Delivered-To: community@lrn.ru Received: from master.altlinux.ru (master.altlinux.ru [62.118.250.235]) by lrn.ru (Postfix) with ESMTP id CA3F2491C6 for ; Sat, 5 Jul 2003 11:17:48 +0400 (MSD) Received: from avatar.ip-ua.net (avatar.ip-ua.net [212.1.90.1]) by master.altlinux.ru (Postfix) with ESMTP id 2FFF6E31CF for ; Sat, 5 Jul 2003 11:17:47 +0400 (MSD) Received: from inbox.ru (dialup012.ip-ua.net [212.1.90.45]) by avatar.ip-ua.net (8.12.8/8.12.8) with ESMTP id h657HgaE045363 for ; Sat, 5 Jul 2003 10:17:44 +0300 (EEST) (envelope-from tacitpro@inbox.ru) Message-ID: <3F067FD1.1050406@inbox.ru> Date: Sat, 05 Jul 2003 10:35:45 +0300 From: Sergey Scherbina User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:0.9.9) Gecko/20020322 X-Accept-Language: en-us, en MIME-Version: 1.0 To: community@altlinux.ru Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Subject: [Comm] SU - ? X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.1 Precedence: list Reply-To: community@altlinux.ru List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 05 Jul 2003 07:17:49 -0000 Добрый день! Почему команда su не работает в АЛМ 2.2, тогда как в АЛМ 2.0 все работало? Набираю su - получаю Authentication falied, хотя user усть в группе root. Сергей.