* [Sysadmins] права на /proc
@ 2008-01-24 10:19 Olvin
2008-01-24 19:09 ` Konstantin A. Lepikhov
2008-01-26 21:15 ` Led
0 siblings, 2 replies; 13+ messages in thread
From: Olvin @ 2008-01-24 10:19 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В ALM24 было такое, что пользователь имел доступ только к информации о
своих процессах, полный доступ (по крайней мере, на чтение) имели только
пользователи из группы proc.
Очень хотелось бы сделать такое же поведение и у AL[D|S]40. Что для
этого нужно? Ядро используется 2.6.18-ovz-smp-alt17.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] права на /proc
2008-01-24 10:19 [Sysadmins] права на /proc Olvin
@ 2008-01-24 19:09 ` Konstantin A. Lepikhov
2008-01-24 19:56 ` Olvin
2008-01-27 16:52 ` Peter Volkov
2008-01-26 21:15 ` Led
1 sibling, 2 replies; 13+ messages in thread
From: Konstantin A. Lepikhov @ 2008-01-24 19:09 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi Olvin!
Thursday 24, at 12:19:29 PM you wrote:
> В ALM24 было такое, что пользователь имел доступ только к информации о
> своих процессах, полный доступ (по крайней мере, на чтение) имели только
> пользователи из группы proc.
>
> Очень хотелось бы сделать такое же поведение и у AL[D|S]40. Что для
> этого нужно? Ядро используется 2.6.18-ovz-smp-alt17.
Нужно обновлять (а точнее переписывать) altsec патч, пока у меня на это не
хватает времени, но в TODO записано :)
--
WBR et al.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] права на /proc
2008-01-24 19:09 ` Konstantin A. Lepikhov
@ 2008-01-24 19:56 ` Olvin
2008-01-24 21:20 ` Konstantin A. Lepikhov
2008-01-27 16:52 ` Peter Volkov
1 sibling, 1 reply; 13+ messages in thread
From: Olvin @ 2008-01-24 19:56 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Konstantin A. Lepikhov пишет:
>> В ALM24 было такое, что пользователь имел доступ только к информации о
>> своих процессах, полный доступ (по крайней мере, на чтение) имели только
>> пользователи из группы proc.
>> Очень хотелось бы сделать такое же поведение и у AL[D|S]40. Что для
>> этого нужно? Ядро используется 2.6.18-ovz-smp-alt17.
> Нужно обновлять (а точнее переписывать) altsec патч, пока у меня на это не
> хватает времени, но в TODO записано :)
Но хотя бы в ближайшем мастере будет? :)
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] права на /proc
2008-01-24 19:56 ` Olvin
@ 2008-01-24 21:20 ` Konstantin A. Lepikhov
0 siblings, 0 replies; 13+ messages in thread
From: Konstantin A. Lepikhov @ 2008-01-24 21:20 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi Olvin!
Thursday 24, at 09:56:42 PM you wrote:
> Konstantin A. Lepikhov пишет:
> >> В ALM24 было такое, что пользователь имел доступ только к информации о
> >> своих процессах, полный доступ (по крайней мере, на чтение) имели только
> >> пользователи из группы proc.
> >> Очень хотелось бы сделать такое же поведение и у AL[D|S]40. Что для
> >> этого нужно? Ядро используется 2.6.18-ovz-smp-alt17.
> > Нужно обновлять (а точнее переписывать) altsec патч, пока у меня на это не
> > хватает времени, но в TODO записано :)
>
> Но хотя бы в ближайшем мастере будет? :)
Я пока не знаю сроков выхода ближайшего мастера ;)
--
WBR et al.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] права на /proc
2008-01-24 19:09 ` Konstantin A. Lepikhov
2008-01-24 19:56 ` Olvin
@ 2008-01-27 16:52 ` Peter Volkov
2008-01-26 18:53 ` Olvin
2008-01-26 21:41 ` Konstantin A. Lepikhov
1 sibling, 2 replies; 13+ messages in thread
From: Peter Volkov @ 2008-01-27 16:52 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 967 bytes --]
В Чтв, 24/01/2008 в 22:09 +0300, Konstantin A. Lepikhov пишет:
> Thursday 24, at 12:19:29 PM you wrote:
>
> > В ALM24 было такое, что пользователь имел доступ только к информации о
> > своих процессах, полный доступ (по крайней мере, на чтение) имели только
> > пользователи из группы proc.
> >
> > Очень хотелось бы сделать такое же поведение и у AL[D|S]40. Что для
> > этого нужно? Ядро используется 2.6.18-ovz-smp-alt17.
> Нужно обновлять (а точнее переписывать) altsec патч, пока у меня на это не
> хватает времени, но в TODO записано :)
http://grsecurity.org/ умеет что-то похожее. Может вам подойдёт.
--
Peter.
[-- Attachment #2: Эта часть сообщения подписана цифровой подписью --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] права на /proc
2008-01-27 16:52 ` Peter Volkov
@ 2008-01-26 18:53 ` Olvin
2008-01-26 21:41 ` Konstantin A. Lepikhov
1 sibling, 0 replies; 13+ messages in thread
From: Olvin @ 2008-01-26 18:53 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Peter Volkov пишет:
>>> В ALM24 было такое, что пользователь имел доступ только к информации о
>>> своих процессах, полный доступ (по крайней мере, на чтение) имели только
>>> пользователи из группы proc.
>>> Очень хотелось бы сделать такое же поведение и у AL[D|S]40. Что для
>>> этого нужно? Ядро используется 2.6.18-ovz-smp-alt17.
>> Нужно обновлять (а точнее переписывать) altsec патч, пока у меня на это не
>> хватает времени, но в TODO записано :)
> http://grsecurity.org/ умеет что-то похожее. Может вам подойдёт.
Увы, я не спец в kernel-hacking и не смогу оценить прилаживаемость этих
патчей на альтовское ядро.
В общем-то, поэтому и спрашиваю, нет ли готового ядра с такой
функциональностью...
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] права на /proc
2008-01-27 16:52 ` Peter Volkov
2008-01-26 18:53 ` Olvin
@ 2008-01-26 21:41 ` Konstantin A. Lepikhov
1 sibling, 0 replies; 13+ messages in thread
From: Konstantin A. Lepikhov @ 2008-01-26 21:41 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi Peter!
Sunday 27, at 07:52:05 PM you wrote:
>
> В Чтв, 24/01/2008 в 22:09 +0300, Konstantin A. Lepikhov пишет:
> > Thursday 24, at 12:19:29 PM you wrote:
> >
> > > В ALM24 было такое, что пользователь имел доступ только к информации о
> > > своих процессах, полный доступ (по крайней мере, на чтение) имели только
> > > пользователи из группы proc.
> > >
> > > Очень хотелось бы сделать такое же поведение и у AL[D|S]40. Что для
> > > этого нужно? Ядро используется 2.6.18-ovz-smp-alt17.
> > Нужно обновлять (а точнее переписывать) altsec патч, пока у меня на это не
> > хватает времени, но в TODO записано :)
>
> http://grsecurity.org/ умеет что-то похожее. Может вам подойдёт.
это ужасный bloat - взять хотя бы собственную реализацию базовых системных
вызовов, которая дублируется в ядре. Как раз altsec и был написан
по-причине отсутствия вменяемых аналогов owl патча для 2.6.
--
WBR et al.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] права на /proc
2008-01-24 10:19 [Sysadmins] права на /proc Olvin
2008-01-24 19:09 ` Konstantin A. Lepikhov
@ 2008-01-26 21:15 ` Led
2008-01-26 21:43 ` Konstantin A. Lepikhov
2008-01-26 22:39 ` [Sysadmins] /proc/kmsg Dmitry V. Levin
1 sibling, 2 replies; 13+ messages in thread
From: Led @ 2008-01-26 21:15 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Thursday, 24 January 2008 12:19:29 Olvin написав:
> В ALM24 было такое, что пользователь имел доступ только к информации о
> своих процессах, полный доступ (по крайней мере, на чтение) имели только
> пользователи из группы proc.
>
> Очень хотелось бы сделать такое же поведение и у AL[D|S]40. Что для
> этого нужно? Ядро используется 2.6.18-ovz-smp-alt17.
У нас несколько загадочный /proc:)
В частности, я так и не понял каким образом klogd (запускаемый от имени klogd)
читает
-r-------- 1 root root 0 Jan 26 23:12 /proc/kmsg
?
Это не притензия, просто я недостаточно квалифицирован, чтобы понять сий
глубокий смысл:)
--
Led
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] права на /proc
2008-01-26 21:15 ` Led
@ 2008-01-26 21:43 ` Konstantin A. Lepikhov
2008-01-26 22:02 ` Led
2008-01-26 22:39 ` [Sysadmins] /proc/kmsg Dmitry V. Levin
1 sibling, 1 reply; 13+ messages in thread
From: Konstantin A. Lepikhov @ 2008-01-26 21:43 UTC (permalink / raw)
To: ledest, ALT Linux sysadmin discuss
Hi Led!
Saturday 26, at 11:15:35 PM you wrote:
> Thursday, 24 January 2008 12:19:29 Olvin написав:
> > В ALM24 было такое, что пользователь имел доступ только к информации о
> > своих процессах, полный доступ (по крайней мере, на чтение) имели только
> > пользователи из группы proc.
> >
> > Очень хотелось бы сделать такое же поведение и у AL[D|S]40. Что для
> > этого нужно? Ядро используется 2.6.18-ovz-smp-alt17.
>
> У нас несколько загадочный /proc:)
> В частности, я так и не понял каким образом klogd (запускаемый от имени klogd)
> читает
> -r-------- 1 root root 0 Jan 26 23:12 /proc/kmsg
> ?
> Это не притензия, просто я недостаточно квалифицирован, чтобы понять сий
> глубокий смысл:)
откройте для себя fix-core--syslog ;)
--
WBR et al.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] права на /proc
2008-01-26 21:43 ` Konstantin A. Lepikhov
@ 2008-01-26 22:02 ` Led
0 siblings, 0 replies; 13+ messages in thread
From: Led @ 2008-01-26 22:02 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Saturday, 26 January 2008 23:43:36 ви написали:
> Hi Led!
>
> Saturday 26, at 11:15:35 PM you wrote:
> > Thursday, 24 January 2008 12:19:29 Olvin написав:
> > > В ALM24 было такое, что пользователь имел доступ только к информации о
> > > своих процессах, полный доступ (по крайней мере, на чтение) имели
> > > только пользователи из группы proc.
> > >
> > > Очень хотелось бы сделать такое же поведение и у AL[D|S]40. Что для
> > > этого нужно? Ядро используется 2.6.18-ovz-smp-alt17.
> >
> > У нас несколько загадочный /proc:)
> > В частности, я так и не понял каким образом klogd (запускаемый от имени
> > klogd) читает
> > -r-------- 1 root root 0 Jan 26 23:12 /proc/kmsg
> > ?
> > Это не притензия, просто я недостаточно квалифицирован, чтобы понять сий
> > глубокий смысл:)
>
> откройте для себя fix-core--syslog ;)
Спасибо, посмотрю
--
Led
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] /proc/kmsg
2008-01-26 21:15 ` Led
2008-01-26 21:43 ` Konstantin A. Lepikhov
@ 2008-01-26 22:39 ` Dmitry V. Levin
2008-01-27 10:18 ` Anton Gorlov
1 sibling, 1 reply; 13+ messages in thread
From: Dmitry V. Levin @ 2008-01-26 22:39 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 1035 bytes --]
On Sat, Jan 26, 2008 at 11:15:35PM +0200, Led wrote:
[...]
> У нас несколько загадочный /proc:)
> В частности, я так и не понял каким образом klogd (запускаемый от имени klogd)
> читает
> -r-------- 1 root root 0 Jan 26 23:12 /proc/kmsg
> ?
Это обычные права на /proc/kmsg, klogd открывает этот файл будучи рутом.
Потом он чрутится и переключается в псевдопользователя.
Аналогичным образом поступают многие демоны.
> Это не притензия, просто я недостаточно квалифицирован, чтобы понять сий
> глубокий смысл:)
Впрочем, именно с /proc/kmsg история не такая как с обычными файлами.
С появлением LSM в ядре проверка прав доступа к /proc/kmsg изменилась, и
права доступа проверяются не только в момент открытия файла, но и при
работе с дескриптором. В результате процесс, открывший файл /proc/kmsg,
после переключения в псевдопользователя теряет возможность работать с этим
файлом. Так происходит в ванильных ядрах, ALT'овые ядра пропатчены для того,
чтобы традиционная схема продолжала работать.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2008-01-27 16:52 UTC | newest]
Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-01-24 10:19 [Sysadmins] права на /proc Olvin
2008-01-24 19:09 ` Konstantin A. Lepikhov
2008-01-24 19:56 ` Olvin
2008-01-24 21:20 ` Konstantin A. Lepikhov
2008-01-27 16:52 ` Peter Volkov
2008-01-26 18:53 ` Olvin
2008-01-26 21:41 ` Konstantin A. Lepikhov
2008-01-26 21:15 ` Led
2008-01-26 21:43 ` Konstantin A. Lepikhov
2008-01-26 22:02 ` Led
2008-01-26 22:39 ` [Sysadmins] /proc/kmsg Dmitry V. Levin
2008-01-27 10:18 ` Anton Gorlov
2008-01-27 12:37 ` Dmitry V. Levin
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git