* Re: [sisyphus] Атрибуты на kcheckpass
@ 2011-07-09 17:33 Sergei O. Naumov
2011-07-09 18:04 ` Dmitry Chistikov
2011-07-09 21:40 ` Michael Shigorin
0 siblings, 2 replies; 7+ messages in thread
From: Sergei O. Naumov @ 2011-07-09 17:33 UTC (permalink / raw)
To: sisyphus
В сообщении от 8 июля 2011 13:54:42 автор Sergey V Turchin написал:
> > Что надо сделать, чтобы разблокировка экрана по паролю работала?
>
> Проверить у нового пользователя для начала.
>
> > Или это все же баг с атрибутами?
>
> По любому у вас с системой что-то.
На новом юзером все ок. Я поглядел еще раз и вспомнил, что менял uid у
нескольких пользователей. Менял "руками" в /etc/passwd. Это, как я понимаю,
единственное, что могло повлиять на ситуацию. Где-то еще не сменил? Вроде
kcheckpass должен в /etc/passwd глядеть...
--
Сергей
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] Атрибуты на kcheckpass
2011-07-09 17:33 [sisyphus] Атрибуты на kcheckpass Sergei O. Naumov
@ 2011-07-09 18:04 ` Dmitry Chistikov
2011-07-09 19:29 ` Sergey Vlasov
2011-07-09 21:40 ` Michael Shigorin
1 sibling, 1 reply; 7+ messages in thread
From: Dmitry Chistikov @ 2011-07-09 18:04 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Sergei O. Naumov, Jul. 09, 2011, 21:33 +0400:
> Менял "руками" в /etc/passwd.
Еще как минимум /etc/group и /etc/tcb/.
Вообще, посмотрите man tcb, специфика там описана. Но в не-tcb-based
дистрибутивах одного passwd тоже хватать не должно, хотя бы /etc/shadow
поправить нужно. (Если редактировать вручную, то матчасть нужно знать.)
--
Дмитрий Чистиков
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] Атрибуты на kcheckpass
2011-07-09 18:04 ` Dmitry Chistikov
@ 2011-07-09 19:29 ` Sergey Vlasov
2011-07-10 5:35 ` Dmitry Chistikov
0 siblings, 1 reply; 7+ messages in thread
From: Sergey Vlasov @ 2011-07-09 19:29 UTC (permalink / raw)
To: sisyphus
[-- Attachment #1: Type: text/plain, Size: 841 bytes --]
On Sat, Jul 09, 2011 at 10:04:05PM +0400, Dmitry Chistikov wrote:
> Sergei O. Naumov, Jul. 09, 2011, 21:33 +0400:
> > Менял "руками" в /etc/passwd.
>
> Еще как минимум /etc/group и /etc/tcb/.
В /etc/group всё-таки лежит gid и имена пользователей, а не uid. А
вот в /etc/tcb каталоги и файлы действительно должны принадлежать
соответствующим пользователям.
> Вообще, посмотрите man tcb, специфика там описана. Но в не-tcb-based
> дистрибутивах одного passwd тоже хватать не должно, хотя бы /etc/shadow
> поправить нужно. (Если редактировать вручную, то матчасть нужно знать.)
В shadow опять-таки имя пользователя, а не uid, поэтому действительно
достаточно только поискать файлы, принадлежащие пользователю, у
которого меняется uid (хотя в принципе этого бы хватило и для tcb,
если бы в область поиска попал /etc/tcb).
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] Атрибуты на kcheckpass
2011-07-09 17:33 [sisyphus] Атрибуты на kcheckpass Sergei O. Naumov
2011-07-09 18:04 ` Dmitry Chistikov
@ 2011-07-09 21:40 ` Michael Shigorin
2011-07-11 16:55 ` Sergei O. Naumov
1 sibling, 1 reply; 7+ messages in thread
From: Michael Shigorin @ 2011-07-09 21:40 UTC (permalink / raw)
To: sisyphus
On Sat, Jul 09, 2011 at 09:33:58PM +0400, Sergei O. Naumov wrote:
> На новом юзером все ок. Я поглядел еще раз и вспомнил, что
> менял uid у нескольких пользователей. Менял "руками" в
> /etc/passwd. Это, как я понимаю, единственное, что могло
> повлиять на ситуацию. Где-то еще не сменил?
Ну кто ж так делает :(
/etc/passwd
/etc/group
/etc/shadow
/etc/tcb/
Лучше usermod(8) всё-таки было, а теперь сверяйте по id(1), наверное.
> Вроде kcheckpass должен в /etc/passwd глядеть...
Он должен смотреть в pam, а не пешком ходить куда попало,
как в середине девяностых. :)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] Атрибуты на kcheckpass
2011-07-09 19:29 ` Sergey Vlasov
@ 2011-07-10 5:35 ` Dmitry Chistikov
0 siblings, 0 replies; 7+ messages in thread
From: Dmitry Chistikov @ 2011-07-10 5:35 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Sergey Vlasov, Jul. 09, 2011, 23:29 +0400:
> В /etc/group всё-таки лежит gid и имена пользователей, а не uid. [...]
>
> В shadow опять-таки имя пользователя, а не uid [...]
Вы правы, это скорее места для более общего случая *правки*
личных данных - немного в сторону занесло.
--
Дмитрий Чистиков
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] Атрибуты на kcheckpass
2011-07-09 21:40 ` Michael Shigorin
@ 2011-07-11 16:55 ` Sergei O. Naumov
2011-07-11 18:44 ` Sergey Vlasov
0 siblings, 1 reply; 7+ messages in thread
From: Sergei O. Naumov @ 2011-07-11 16:55 UTC (permalink / raw)
To: sisyphus
В сообщении от 10 июля 2011 01:40:29 автор Michael Shigorin написал:
> Ну кто ж так делает :(
>
> /etc/passwd
> /etc/group
> /etc/shadow
> /etc/tcb/
>
> Лучше usermod(8) всё-таки было, а теперь сверяйте по id(1), наверное.
Мнда... Все нашел и починил. Спасибо. Но почему тогда kdm позволял мне зайти?
Он ведь тоже в pam должен ходить!
--
Сергей
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] Атрибуты на kcheckpass
2011-07-11 16:55 ` Sergei O. Naumov
@ 2011-07-11 18:44 ` Sergey Vlasov
0 siblings, 0 replies; 7+ messages in thread
From: Sergey Vlasov @ 2011-07-11 18:44 UTC (permalink / raw)
To: sisyphus
[-- Attachment #1: Type: text/plain, Size: 1034 bytes --]
On Mon, Jul 11, 2011 at 08:55:01PM +0400, Sergei O. Naumov wrote:
> Мнда... Все нашел и починил. Спасибо. Но почему тогда kdm позволял мне зайти?
> Он ведь тоже в pam должен ходить!
kdm обращается к pam с правами, достаточными для проверки пароля
любого пользователя (в случае tcb для этого в минимальном варианте
достаточно групп shadow и auth; впрочем, для последующей обработки
входа пользователя всё равно потребуются полноценные права root). При
действиях типа разблокировки экрана необходимо проверять только пароль
текущего пользователя, для чего в tcb достаточно только прав группы
shadow, но только при условии, что каталог пользователя в /etc/tcb и
персональный файл shadow в этом каталоге действительно принадлежат
этому пользователю (это как раз и есть основное преимущество схемы tcb
перед традиционным единым файлом shadow - вместо SUID root для утилит
типа passwd достаточно SGID shadow, и даже при обнаружении уязвимости
в таких утилитах не удастся получить доступ к паролям других
пользователей).
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2011-07-11 18:44 UTC | newest]
Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2011-07-09 17:33 [sisyphus] Атрибуты на kcheckpass Sergei O. Naumov
2011-07-09 18:04 ` Dmitry Chistikov
2011-07-09 19:29 ` Sergey Vlasov
2011-07-10 5:35 ` Dmitry Chistikov
2011-07-09 21:40 ` Michael Shigorin
2011-07-11 16:55 ` Sergei O. Naumov
2011-07-11 18:44 ` Sergey Vlasov
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git