* RE: [devel] Аутентификация пользователей в PAM/pam_tcb непривелегированным процессом
@ 2004-03-05 18:29 Dimitry V. Ketov
2004-03-06 7:09 ` [devel] " Michael Shigorin
2004-03-06 21:40 ` [devel] " Dmitry V. Levin
0 siblings, 2 replies; 8+ messages in thread
From: Dimitry V. Ketov @ 2004-03-05 18:29 UTC (permalink / raw)
To: ALT Devel discussion list
> -----Original Message-----
> On Fri, Mar 05, 2004 at 08:03:07PM +0300, Dimitry V. Ketov wrote:
> > Что необходимо/достаточно иметь процессу в EUID/EGID/GROUPS для
> > аутентификации его пользователей в PAM/pam_tcb?
>
> Прочтите tcb(5), пожалуйста.
Оопс, был неправ :)
Тогда встречный вопрос: собираю mod_auth_pam для apache. Корректны ли (с точки зрения политики безопасности ALT) следующие действия:
%post
%_sbindir/usermod -G shadow,auth apache
%preun
%_sbindir/usermod -G "" apache
^ permalink raw reply [flat|nested] 8+ messages in thread
* [devel] Re: Аутентификация пользователей в PAM/pam_tcb непривелегированным процессом
2004-03-05 18:29 [devel] Аутентификация пользователей в PAM/pam_tcb непривелегированным процессом Dimitry V. Ketov
@ 2004-03-06 7:09 ` Michael Shigorin
2004-03-06 21:05 ` Dmitry V. Levin
2004-03-06 21:40 ` [devel] " Dmitry V. Levin
1 sibling, 1 reply; 8+ messages in thread
From: Michael Shigorin @ 2004-03-06 7:09 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 559 bytes --]
On Fri, Mar 05, 2004 at 09:29:41PM +0300, Dimitry V. Ketov wrote:
> %post
> %_sbindir/usermod -G shadow,auth apache
Вот с таким лучше поосторожнее. Если системный администратор
включил apache в какие-либо дополнительные группы, каждое
обновление mod_auth_pam принесет ему дополнительные проблемы.
Существует ли вменяемый инструмент для _добавления_ и
_исключения_ пользователя в/из групп без переписывания с нуля?
Если нет -- его, видимо, стоит нарисовать.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Re: Аутентификация пользователей в PAM/pam_tcb непривелегированным процессом
2004-03-06 7:09 ` [devel] " Michael Shigorin
@ 2004-03-06 21:05 ` Dmitry V. Levin
2004-03-07 17:28 ` Michael Shigorin
0 siblings, 1 reply; 8+ messages in thread
From: Dmitry V. Levin @ 2004-03-06 21:05 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 371 bytes --]
On Sat, Mar 06, 2004 at 09:09:24AM +0200, Michael Shigorin wrote:
> On Fri, Mar 05, 2004 at 09:29:41PM +0300, Dimitry V. Ketov wrote:
> Существует ли вменяемый инструмент для _добавления_ и
> _исключения_ пользователя в/из групп без переписывания с нуля?
>
> Если нет -- его, видимо, стоит нарисовать.
Можно посмотреть в /usr/sbin/hasher-useradd.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Аутентификация пользователей в PAM/pam_tcb непривелегированным процессом
2004-03-05 18:29 [devel] Аутентификация пользователей в PAM/pam_tcb непривелегированным процессом Dimitry V. Ketov
2004-03-06 7:09 ` [devel] " Michael Shigorin
@ 2004-03-06 21:40 ` Dmitry V. Levin
1 sibling, 0 replies; 8+ messages in thread
From: Dmitry V. Levin @ 2004-03-06 21:40 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 779 bytes --]
On Fri, Mar 05, 2004 at 09:29:41PM +0300, Dimitry V. Ketov wrote:
>
> > -----Original Message-----
> > On Fri, Mar 05, 2004 at 08:03:07PM +0300, Dimitry V. Ketov wrote:
> > > Что необходимо/достаточно иметь процессу в EUID/EGID/GROUPS для
> > > аутентификации его пользователей в PAM/pam_tcb?
> >
> > Прочтите tcb(5), пожалуйста.
>
> Оопс, был неправ :)
> Тогда встречный вопрос: собираю mod_auth_pam для apache. Корректны ли (с точки зрения политики безопасности ALT) следующие действия:
>
> %post
> %_sbindir/usermod -G shadow,auth apache
>
> %preun
> %_sbindir/usermod -G "" apache
Добавлять пользователя apache в группы shadow и auth? Неужели это
обязательно?
Как добавлять и удалять, это уже другая история, понятно, что не так.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* [devel] Re: Аутентификация пользователей в PAM/pam_tcb непривелегированным процессом
2004-03-06 21:05 ` Dmitry V. Levin
@ 2004-03-07 17:28 ` Michael Shigorin
2004-03-07 17:39 ` Dmitry V. Levin
2004-03-07 18:39 ` [devel] " Денис Смирнов
0 siblings, 2 replies; 8+ messages in thread
From: Michael Shigorin @ 2004-03-07 17:28 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 471 bytes --]
On Sun, Mar 07, 2004 at 12:05:39AM +0300, Dmitry V. Levin wrote:
> > Существует ли вменяемый инструмент для _добавления_ и
> > _исключения_ пользователя в/из групп без переписывания с нуля?
> > Если нет -- его, видимо, стоит нарисовать.
> Можно посмотреть в /usr/sbin/hasher-useradd.
Интересно, какими гнилофруктами меня закидают, если webalizer
начнет просить hasher. :)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Re: Аутентификация пользователей в PAM/pam_tcb непривелегированным процессом
2004-03-07 17:28 ` Michael Shigorin
@ 2004-03-07 17:39 ` Dmitry V. Levin
2004-03-07 18:39 ` [devel] " Денис Смирнов
1 sibling, 0 replies; 8+ messages in thread
From: Dmitry V. Levin @ 2004-03-07 17:39 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 562 bytes --]
On Sun, Mar 07, 2004 at 07:28:47PM +0200, Michael Shigorin wrote:
> On Sun, Mar 07, 2004 at 12:05:39AM +0300, Dmitry V. Levin wrote:
> > > Существует ли вменяемый инструмент для _добавления_ и
> > > _исключения_ пользователя в/из групп без переписывания с нуля?
> > > Если нет -- его, видимо, стоит нарисовать.
> > Можно посмотреть в /usr/sbin/hasher-useradd.
>
> Интересно, какими гнилофруктами меня закидают, если webalizer
> начнет просить hasher. :)
Если webalizer начнёт просить hasher "на посмотреть", то наверняка
закидают. :)
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Аутентификация пользователей в PAM/pam_tcb непривелегированным процессом
2004-03-07 17:28 ` Michael Shigorin
2004-03-07 17:39 ` Dmitry V. Levin
@ 2004-03-07 18:39 ` Денис Смирнов
2004-03-07 20:40 ` [devel] " Michael Shigorin
1 sibling, 1 reply; 8+ messages in thread
From: Денис Смирнов @ 2004-03-07 18:39 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 837 bytes --]
On Sun, Mar 07, 2004 at 07:28:47PM +0200, Michael Shigorin wrote:
>>> Существует ли вменяемый инструмент для _добавления_ и
>>> _исключения_ пользователя в/из групп без переписывания с нуля?
>>> Если нет -- его, видимо, стоит нарисовать.
>> Можно посмотреть в /usr/sbin/hasher-useradd.
MS> Интересно, какими гнилофруктами меня закидают, если webalizer
MS> начнет просить hasher. :)
/me задумался что это будет хорошим поводом заставить вебмастеров собирать
свои поделки в hasher'е... :-))))))
/me также подумал, что ещё чуть-чуть и я решу что нечто вроде rpm только в
рамках пользовательских полномочий для его личных поделок будет тоже
интересно... не зря же у меня уже потихоньку вещи, которые являются больше
юзверьскими чем системными, лежат в rpm'ках.
--
С уважением, Денис
http://freesource.info
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* [devel] Re: Аутентификация пользователей в PAM/pam_tcb непривелегированным процессом
2004-03-07 18:39 ` [devel] " Денис Смирнов
@ 2004-03-07 20:40 ` Michael Shigorin
0 siblings, 0 replies; 8+ messages in thread
From: Michael Shigorin @ 2004-03-07 20:40 UTC (permalink / raw)
To: ALT Devel discussion list
Cc: Денис
Смирнов
[-- Attachment #1: Type: text/plain, Size: 588 bytes --]
On Sun, Mar 07, 2004 at 09:39:41PM +0300, Денис Смирнов wrote:
> /me также подумал, что ещё чуть-чуть и я решу что нечто вроде
> rpm только в рамках пользовательских полномочий для его личных
> поделок будет тоже интересно... не зря же у меня уже потихоньку
> вещи, которые являются больше юзверьскими чем системными, лежат
> в rpm'ках.
А почему нет?
На самом деле есть еще один интересный, как мне кажется, момент
-- инфраструктура для сборки чрутов под vserver или
машинок-под-закатку.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
end of thread, other threads:[~2004-03-07 20:40 UTC | newest]
Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-03-05 18:29 [devel] Аутентификация пользователей в PAM/pam_tcb непривелегированным процессом Dimitry V. Ketov
2004-03-06 7:09 ` [devel] " Michael Shigorin
2004-03-06 21:05 ` Dmitry V. Levin
2004-03-07 17:28 ` Michael Shigorin
2004-03-07 17:39 ` Dmitry V. Levin
2004-03-07 18:39 ` [devel] " Денис Смирнов
2004-03-07 20:40 ` [devel] " Michael Shigorin
2004-03-06 21:40 ` [devel] " Dmitry V. Levin
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git