[sisyphus] I: pam-config-1.2.0-alt1

[sisyphus] I: pam-config-1.2.0-alt1

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 398 bytes --]

Hi,

В новой версии пакета в файле /etc/pam.d/system-auth появилась строчка
"account required pam_mktemp.so" (account а не session из-за openssh).

По идее, никто не должен пострадать от этого изменения, но поскольку оно
общесистемное, я вас предупредил.

P.S. Системы с /tmp на tmpfs я ещё не тестировал, но не вижу причины, по
которым с ними могли бы возникнуть проблемы.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] I: pam-config-1.2.0-alt1

[Eugene Ostapets]

26.05.05, Dmitry V. Levin<ldv altlinux.org> написал(а):
> Hi,
> 
> В новой версии пакета в файле /etc/pam.d/system-auth появилась строчка
> "account required pam_mktemp.so" (account а не session из-за openssh).
Я конечно понимаю любовь некоторых хирургов к удалению гландов через
задний проход... Но может лучше сменить версию sshd или хотя бы
накатить патч на старый для поддержки исполнения session ?

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [sisyphus] I: pam-config-1.2.0-alt1

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 671 bytes --]

On Thu, May 26, 2005 at 08:08:54PM +0300, Eugene Ostapets wrote:
> 26.05.05, Dmitry V. Levin<ldv altlinux.org> написал(а):
> > В новой версии пакета в файле /etc/pam.d/system-auth появилась строчка
> > "account required pam_mktemp.so" (account а не session из-за openssh).
> Я конечно понимаю любовь некоторых хирургов к удалению гландов через
> задний проход... Но может лучше сменить версию sshd или хотя бы

Сменить версию sshd непросто.

> накатить патч на старый для поддержки исполнения session ?

Хорошего патча я не встречал.
Возможно, что это сделать ещё сложнее, чем обновить openssh, новая версия
которого (4.1p1) только что вышла.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] I: pam-config-1.2.0-alt1

[Eugene Ostapets]

26.05.05, Dmitry V. Levin<ldv altlinux.org> написал(а):
> On Thu, May 26, 2005 at 08:08:54PM +0300, Eugene Ostapets wrote:
> > 26.05.05, Dmitry V. Levin<ldv altlinux.org> написал(а):
> > > В новой версии пакета в файле /etc/pam.d/system-auth появилась строчка
> > > "account required pam_mktemp.so" (account а не session из-за openssh).
> > Я конечно понимаю любовь некоторых хирургов к удалению гландов через
> > задний проход... Но может лучше сменить версию sshd или хотя бы
> 
> Сменить версию sshd непросто.
В рамках Сизифа? Просто! Менялась же glibc, Xfree->Xorg... И все
остались живы... Местами... :)


-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

[sisyphus] Re: I: pam-config-1.2.0-alt1

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 777 bytes --]

On Thu, May 26, 2005 at 08:29:23PM +0300, Eugene Ostapets wrote:
> > > > В новой версии пакета в файле /etc/pam.d/system-auth появилась строчка
> > > > "account required pam_mktemp.so" (account а не session из-за openssh).
> > > Я конечно понимаю любовь некоторых хирургов к удалению гландов через
> > > задний проход... Но может лучше сменить версию sshd или хотя бы
> > Сменить версию sshd непросто.
> В рамках Сизифа? Просто! Менялась же glibc, Xfree->Xorg...
> И все остались живы... Местами... :)

Думаешь?

$ rpm -qlp openssh-3.6.1p2-alt6.src.rpm | grep patch | wc -l
32

PS: я вот знаю некоторых, которые оч-чень склонны
к скоропалительным выводам. :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] Re: I: pam-config-1.2.0-alt1

[Eugene Ostapets]

26.05.05, Michael Shigorin<mike osdn.org.ua> написал(а):
> > В рамках Сизифа? Просто! Менялась же glibc, Xfree->Xorg...
> > И все остались живы... Местами... :)
> Думаешь?
> $ rpm -qlp openssh-3.6.1p2-alt6.src.rpm | grep patch | wc -l
> 32
> 
$ rpm -qlp openssh-3.9p1-7.src.rpm | grep patch | wc -l
6
И что это доказывает? Я не вижу пока никакого смысла огораживать
костылями, которые очень скоро превратяться в грабли, такой важный
пакет, вместо того, чтобы предпринять попытку перейти на новую
версию... Или сравним количество костылей/граблей, которыми подпирался
XFree86 и сейчас подпирается XOrg? Но XFree работал и работает, что
версия 4.3, что 4.5(текущая), а от XOrg пока что слишком много проблем
для владельцев видеокарт Ati... Но переход был сделан, чтобы не
отставать от мейнстрима... Надеюсь что к выходу ALC 3.0 XOrg работать
будет пристойно... OpenSSH нужен в первую очередь для ALM 3.0 и пока
что есть время сменить версию и отладить ее, обложив местными
костылями...

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

[sisyphus] Re: I: pam-config-1.2.0-alt1

[Michael Shigorin]

On Thu, May 26, 2005 at 10:43:41PM +0300, Eugene Ostapets wrote:
> > > В рамках Сизифа? Просто! Менялась же glibc, Xfree->Xorg...
> > > И все остались живы... Местами... :)
> > Думаешь?
> > $ rpm -qlp openssh-3.6.1p2-alt6.src.rpm | grep patch | wc -l
> > 32
> $ rpm -qlp openssh-3.9p1-7.src.rpm | grep patch | wc -l
> 6
> И что это доказывает?

Боюсь, историю sec announces так вот не сравнить, но раз уж
у тебя есть время флеймить -- попробуй руками.

Пару случаев, когда благодаря работе Димы именно по openssh было
можно не нервничать -- помню.

> Я не вижу пока никакого смысла огораживать костылями, которые
> очень скоро превратяться в грабли, такой важный пакет, вместо
> того, чтобы предпринять попытку перейти на новую версию...

Ну так попробуй проанализировать нужность патчей да перетащить
те, которые на твой взгляд таки да, на 4.1.  Этим уже поможешь.

> Или сравним количество костылей/граблей, которыми подпирался
> XFree86 и сейчас подпирается XOrg? Но XFree работал и работает,
> что версия 4.3, что 4.5(текущая), а от XOrg пока что слишком
> много проблем для владельцев видеокарт Ati...

Это потому, что у майнтейнера нет железа для тестов, а там без
них никак.  Соответственно было предложено попить пива сообща 
с ведущим специалистом (TM) по ATI и прийти к согласию по части
комайнтейнерства; новостей (как и ругани) пока не слышал.

Если есть много желания и чуточку ATI -- давай и тебя туда же
припашем, с первого числа-то.  С Валерой, думаю, договоримся. :)

> Но переход был сделан, чтобы не отставать от мейнстрима...

Сейчас не припомню, но там действительно что-то чинили, не только
ломали.  В xorg, в смысле.

> Надеюсь что к выходу ALC 3.0 XOrg работать будет пристойно...

...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] openssh update

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1653 bytes --]

On Thu, May 26, 2005 at 10:43:41PM +0300, Eugene Ostapets wrote:
> 26.05.05, Michael Shigorin<mike osdn.org.ua> написал(а):
> > > В рамках Сизифа? Просто! Менялась же glibc, Xfree->Xorg...
> > > И все остались живы... Местами... :)
> > Думаешь?
> > $ rpm -qlp openssh-3.6.1p2-alt6.src.rpm | grep patch | wc -l
> > 32
> > 
> $ rpm -qlp openssh-3.9p1-7.src.rpm | grep patch | wc -l
> 6
> И что это доказывает? Я не вижу пока никакого смысла огораживать
> костылями, которые очень скоро превратяться в грабли, такой важный
> пакет, вместо того, чтобы предпринять попытку перейти на новую
> версию... Или сравним количество костылей/граблей, которыми подпирался
> XFree86 и сейчас подпирается XOrg? Но XFree работал и работает, что
> версия 4.3, что 4.5(текущая), а от XOrg пока что слишком много проблем
> для владельцев видеокарт Ati... Но переход был сделан, чтобы не
> отставать от мейнстрима... Надеюсь что к выходу ALC 3.0 XOrg работать
> будет пристойно... OpenSSH нужен в первую очередь для ALM 3.0 и пока
> что есть время сменить версию и отладить ее, обложив местными
> костылями...

Если вы готовы собрать новый openssh, использовать его, исправлять ошибки
и отвечать за них до тех пор, пока не передадите пакет следующему
мантейнеру, то я готов передать этот пакет вам (и поставить его на hold на
несколько месяцев/лет, как я поступаю со всеми пакетами, которые передаю
из-за нехватки времени).  То же самое касается и всех остальных моих
пакетов.
Если вы не готовы, то аргументируйте, пожалуйста, почему я, по вашему,
должен предпочесть обновление и так нормально работающего openssh другой
работе.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] Re: I: pam-config-1.2.0-alt1

[Eugene Ostapets]

26.05.05, Michael Shigorin<mike osdn.org.ua> написал(а):
> On Thu, May 26, 2005 at 10:43:41PM +0300, Eugene Ostapets wrote:
> > > $ rpm -qlp openssh-3.6.1p2-alt6.src.rpm | grep patch | wc -l
> > > 32
> > $ rpm -qlp openssh-3.9p1-7.src.rpm | grep patch | wc -l
> > 6
> > И что это доказывает?
> 
> Боюсь, историю sec announces так вот не сравнить, но раз уж
> у тебя есть время флеймить -- попробуй руками.
> 
$ rpm -qlp openssh-3.6.1p2-alt6.src.rpm | grep patch | grep cvs | wc -l
6
Ы ?
> Пару случаев, когда благодаря работе Димы именно по openssh было
> можно не нервничать -- помню.
> 
Можно было... А теперь по той же причине приходиться нервничать... Не
исполнение pam_limits на стадии session - это шикарный SecurityHole...
И об этих граблях не написано ни слова в описании пакета... А должно
быть крупными буквами: "Этот пакет содержит баги, о которых мы знает,
но исправлять их мы не собираемся!" - тогда все будет честно и можно
будет не обновлять OpenSSH...

> > Я не вижу пока никакого смысла огораживать костылями, которые
> > очень скоро превратяться в грабли, такой важный пакет, вместо
> > того, чтобы предпринять попытку перейти на новую версию...
> 
> Ну так попробуй проанализировать нужность патчей да перетащить
> те, которые на твой взгляд таки да, на 4.1.  Этим уже поможешь.
Попробую... Хотя бы проанализировать что из старья имеет практический
смысл, а что уже сто лет в обед как исправили в мейнстриме...


-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [sisyphus] openssh update

[Eugene Ostapets]

26.05.05, Dmitry V. Levin<ldv altlinux.org> написал(а):
> Если вы готовы собрать новый openssh, использовать его, исправлять ошибки
> и отвечать за них до тех пор, пока не передадите пакет следующему
> мантейнеру, то я готов передать этот пакет вам (и поставить его на hold на
> несколько месяцев/лет, как я поступаю со всеми пакетами, которые передаю
> из-за нехватки времени).  То же самое касается и всех остальных моих
> пакетов.
> Если вы не готовы, то аргументируйте, пожалуйста, почему я, по вашему,
> должен предпочесть обновление и так нормально работающего openssh другой
> работе.
Неисполнение session - это бага. Меня устроит два выхода из ситуации:
переход на боле новую версию, которая не содержит баги или
документирование этой баги в описании пакета, тогда это будет не бага,
а фича, и каждый сможет принять решение стоит ли использовать на
сервере пакет с такой багой/фичей или перейти на какой-то другой
дистрибутив...

По поводу предложения вести пакет: уход пакетов уровня OpenSSH из рук
сотрудников ООО АльтЛинукс - это одна из причин, по которой я не
рекомендую использовать АЛМ 2.4 на боевых серверах... Передача самого
OpenSSH другому сборщику будет означать для меня крах идеи
дистрибутивов ALTLinux Master x.y, при x>=3... Я думаю не только для
меня...

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

[sisyphus] Re: openssh update

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 2205 bytes --]

On Fri, May 27, 2005 at 07:50:19AM +0300, Eugene Ostapets wrote:
> Неисполнение session - это бага.

Id?

> Меня устроит два выхода из ситуации: переход на боле новую
> версию, которая не содержит баги или документирование этой баги
> в описании пакета, тогда это будет не бага, а фича, и каждый
> сможет принять решение стоит ли использовать на сервере пакет с
> такой багой/фичей или перейти на какой-то другой дистрибутив...

Ты об этом на моей памяти чуть не полгода в частном порядке
ноешь, а повесить так и не удосужился. :-(

Надо быть честным -- незафиксированные в bugzilla / письме на
org@ претензии к ALT Linux / Альт Линукс таковыми не являются.
Здесь, по крайней мере.

> По поводу предложения вести пакет: уход пакетов уровня OpenSSH

Примеры?

> из рук сотрудников ООО АльтЛинукс - это одна из причин, по
> которой я не рекомендую использовать АЛМ 2.4 на боевых
> серверах...

Я знаю два действительно серьёзных примера -- apache и mod_ssl.
Не припомню, когда ими занимались сотрудники ООО.  При этом моё
майнтейнерство mod_ssl действительно было для ряда людей причиной
для неиспользования ALM2.2(+?) на серверах, но и мои предложения
заинтересованным взять пакет под крылышко были втуне.

> Передача самого OpenSSH другому сборщику будет означать для
> меня крах идеи дистрибутивов ALTLinux Master x.y, при x>=3...
> Я думаю не только для меня...

Может, хватит FUD разводить на ровном-то месте?

Есть мнение, что если кто-либо в команде, не являющийся
сотрудником одной из компаний, строящих решения на базе Sisyphus
(будь то Альт Линукс, (наверное) Etersoft, мы...) -- справится 
с поддержкой критичного системообразующего и задействованного
в этих самых решениях пакета лучше текущих майнтейнеров, то 
такой человек при первой возможности будет утянут на ставку
или part-time договор.

Поэтому если ты берёшься у нас заниматься и поддержкой openssh,
реализаций X11 или LDAP (вон RHDS выходит) -- договаривайся с
майнтейнерами прямщас, причём не в ключе наездов, а по делу.

Обиды-то понять можно, да вот сами по себе они без толку.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[sisyphus] Re: I: pam-config-1.2.0-alt1

[Michael Shigorin]

On Fri, May 27, 2005 at 07:40:06AM +0300, Eugene Ostapets wrote:
> > Ну так попробуй проанализировать нужность патчей да перетащить
> > те, которые на твой взгляд таки да, на 4.1.  Этим уже поможешь.
> Попробую... Хотя бы проанализировать что из старья имеет практический
> смысл, а что уже сто лет в обед как исправили в мейнстриме...

Договорились.

2 ldv: если что-то из этого выйдет -- надеюсь на конструктивное
продолжение истории. :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] Re: openssh update

[Eugene Ostapets]

27.05.05, Michael Shigorin<mike osdn.org.ua> написал(а):
> On Fri, May 27, 2005 at 07:50:19AM +0300, Eugene Ostapets wrote:
> > Меня устроит два выхода из ситуации: переход на боле новую
> > версию, которая не содержит баги или документирование этой баги
> > в описании пакета, тогда это будет не бага, а фича, и каждый
> > сможет принять решение стоит ли использовать на сервере пакет с
> > такой багой/фичей или перейти на какой-то другой дистрибутив...
> 
> Ты об этом на моей памяти чуть не полгода в частном порядке
> ноешь, а повесить так и не удосужился. :-(
Ее повесили без меня... И с приложением патча, который убирает эту
багу... Патч я не изучал - времени не было, но он был отвергнут
Димой...

> Поэтому если ты берёшься у нас заниматься и поддержкой openssh,
> реализаций X11 или LDAP (вон RHDS выходит) -- договаривайся с
> майнтейнерами прямщас, причём не в ключе наездов, а по делу.
Все я не потяну... Поучаствую в ldap и для фана буду поддерживать
неофициальный репозитарий для XFree86...
> 
> Обиды-то понять можно, да вот сами по себе они без толку.
Угу... 

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

[sisyphus] Re: openssh update

[Michael Shigorin]

On Fri, May 27, 2005 at 09:33:03AM +0300, Eugene Ostapets wrote:
> > Ты об этом на моей памяти чуть не полгода в частном порядке
> > ноешь, а повесить так и не удосужился. :-(
> Ее повесили без меня... И с приложением патча, который убирает
> эту багу... Патч я не изучал - времени не было, но он был
> отвергнут Димой...

#6385?

> > Поэтому если ты берёшься у нас заниматься и поддержкой
> > openssh, реализаций X11 или LDAP (вон RHDS выходит) --
> > договаривайся с майнтейнерами прямщас, причём не в ключе
> > наездов, а по делу.
> Все я не потяну...

А никто и не требует.  Это называется "коллективное допинывание
до формы шара". :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] openssh update

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 952 bytes --]

On Fri, May 27, 2005 at 07:40:06AM +0300, Eugene Ostapets wrote:
> 26.05.05, Michael Shigorin<mike osdn.org.ua> написал(а):
> > On Thu, May 26, 2005 at 10:43:41PM +0300, Eugene Ostapets wrote:
> > > > $ rpm -qlp openssh-3.6.1p2-alt6.src.rpm | grep patch | wc -l
> > > > 32
> > > $ rpm -qlp openssh-3.9p1-7.src.rpm | grep patch | wc -l
> > > 6
> > > И что это доказывает?
> > 
> > Боюсь, историю sec announces так вот не сравнить, но раз уж
> > у тебя есть время флеймить -- попробуй руками.
> > 
> $ rpm -qlp openssh-3.6.1p2-alt6.src.rpm | grep patch | grep cvs | wc -l
> 6
> Ы ?
> > Пару случаев, когда благодаря работе Димы именно по openssh было
> > можно не нервничать -- помню.
> > 
> Можно было... А теперь по той же причине приходиться нервничать... Не
> исполнение pam_limits на стадии session - это шикарный SecurityHole...

Это в openssh вашей сборки такое вопиющее безобразие?
Спасибо, что предупредили.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] openssh update

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 857 bytes --]

On Fri, May 27, 2005 at 07:50:19AM +0300, Eugene Ostapets wrote:
> 26.05.05, Dmitry V. Levin<ldv altlinux.org> написал(а):
> > Если вы готовы собрать новый openssh, использовать его, исправлять ошибки
> > и отвечать за них до тех пор, пока не передадите пакет следующему
> > мантейнеру, то я готов передать этот пакет вам (и поставить его на hold на
> > несколько месяцев/лет, как я поступаю со всеми пакетами, которые передаю
> > из-за нехватки времени).  То же самое касается и всех остальных моих
> > пакетов.
> > Если вы не готовы, то аргументируйте, пожалуйста, почему я, по вашему,
> > должен предпочесть обновление и так нормально работающего openssh другой
> > работе.
> Неисполнение session - это бага.

По крайней мере, не в моём пакете.

Евгений, прежде чем поднимать вопрос, было бы неплохо сперва его изучить.
:)


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[sisyphus] Re: openssh update

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 546 bytes --]

On Fri, May 27, 2005 at 12:16:04PM +0400, Dmitry V. Levin wrote:
> > Можно было... А теперь по той же причине приходиться
> > нервничать... Не исполнение pam_limits на стадии session -
> > это шикарный SecurityHole...
> Это в openssh вашей сборки такое вопиющее безобразие?
> Спасибо, что предупредили.

Дядьки, вы конкретнее.  Не стесняйтесь показать пальцем,
высокопарный стиль изложения пониманию не способствует.
Точно говорю. :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] openssh update

[Eugene Ostapets]

27.05.05, Dmitry V. Levin<ldv altlinux.org> написал(а):
> > Неисполнение session - это бага.
> По крайней мере, не в моём пакете.
> Евгений, прежде чем поднимать вопрос, было бы неплохо сперва его изучить.
> :)
Проверил на М2.4... Работает... На М2.2 или на каком-то из Сизифов это
не работало и поскольку глобальные попытки запустить session не
производились я предположил что бага по-прежнему присутствует... Что
еще работает, а что не работает на стадии session? Или нужно методом
научного тыка перепробовать все модули и развесить баги?

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [sisyphus] openssh update

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1224 bytes --]

On Fri, May 27, 2005 at 12:04:22PM +0300, Eugene Ostapets wrote:
> 27.05.05, Dmitry V. Levin<ldv altlinux.org> написал(а):
> > > Неисполнение session - это бага.
> > По крайней мере, не в моём пакете.
> > Евгений, прежде чем поднимать вопрос, было бы неплохо сперва его изучить.
> > :)
> Проверил на М2.4... Работает... На М2.2 или на каком-то из Сизифов это
> не работало и поскольку глобальные попытки запустить session не
> производились я предположил что бага по-прежнему присутствует... Что
> еще работает, а что не работает на стадии session? Или нужно методом
> научного тыка перепробовать все модули и развесить баги?

Если бы вы сразу спросили...

PAM session management в openssh той версии, которая находится в
Сизифе/дистрибутивах и использует privilege separation, исполняется
с правами пользователя, а не root'а.  Как следствие,
- pam_mktemp не сможет создать подкаталог в /tmp/.private/ с нужными
  правами, если его там нет;
- pam_mkhomedir не сможет создать подкаталог с нужными правами, если его
  там нет;
- pam_limits не сможет увеличить лимиты сверх тех, что есть у процесса
  openssh.

В качестве workaround'а можно помещать это модули в PAM account
management.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[sisyphus] [wiki] ssh + pam session management (was: openssh update)

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 906 bytes --]

On Fri, May 27, 2005 at 01:24:49PM +0400, Dmitry V. Levin wrote:
> Если бы вы сразу спросили...

Гм.  А это бы в README.ALT.

> PAM session management в openssh той версии, которая находится в
> Сизифе/дистрибутивах и использует privilege separation, исполняется
> с правами пользователя, а не root'а.  Как следствие,
> - pam_mktemp не сможет создать подкаталог в /tmp/.private/ с нужными
>   правами, если его там нет;
> - pam_mkhomedir не сможет создать подкаталог с нужными правами, если его
>   там нет;
> - pam_limits не сможет увеличить лимиты сверх тех, что есть у процесса
>   openssh.
> 
> В качестве workaround'а можно помещать это модули в PAM account
> management.

PS: lav@ пофиксировал здесь, смотрю:
http://www.freesource.info/wiki/ALTLinux/Dokumentacija/NastrojjkaSSH

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] I: pam-config-1.2.0-alt1

[Boldin Pavel]

Dmitry V. Levin пишет:

>On Thu, May 26, 2005 at 08:08:54PM +0300, Eugene Ostapets wrote:
>  
>
>>накатить патч на старый для поддержки исполнения session ?
>>    
>>
>
>Хорошего патча я не встречал.
>Возможно, что это сделать ещё сложнее, чем обновить openssh, новая версия
>которого (4.1p1) только что вышла.
>  
>
Я конечно не спрошу, чем тот самый не устраивает.

Можно взять openssh 4.1 и сделать backport одного файла (двух функций).

Только получите Вы тоже самое, что и в патче в bugzill'е.

-- 

Boldin Pavel aka davinchi. mail-to: ldavinchi /at\ inbox _dot_ ru
    ZU - Zagovor Unixoidov. SSAU 303.