[castle] was Bash

Пн Авг 6 11:00:17 MSD 2001

Dmitriy Gnidchenko wrote:

>
>
>Доброе время суток!!!
>
>как-то приходилось писать про то что после апгрейда, было невозможно зайти
>в каталоги secoff и home/...
>
>Тогда я проапргейдил Castle с помощью apt-get upgrade
>
>руками конечно потом востановил вход, но затратил на это время %(
>Но вот мысль о том почему не получилось после переделки войт в систему по
>человечески.
>Обритите внимание на пакет который идет с обновлением это
>secfiles_0.1-alt14_noarch.rpm
>
>точней запись в вайле rsbac_init
>
>##########################################
># Now add some additional restrictions   #
>##########################################
>
>#name=`awk -F: '{if($3=="400") print $1}' /etc/passwd |head -1`
>#if [ -n "$name" ]; then
>#    su $name -c ${0%/*}/rsbac_init_addon
>#fi
>${0%/*}/rsbac_init_addon
>
>#restore umask
>umask $old_umask
>
>Практически все закоментарено но присутсвует строка
>${0%/*}/rsbac_init_addon
>
>а это из старого пакета
>
>##########################################
># Now add some additional restrictions   #
>##########################################
>
>name=`awk -F: '{if($3=="400") print $1}' /etc/passwd |head -1`
>if [ -n "$name" ]; then
>    su $name -c ${0%/*}/rsbac_init_addon
>fi
>
>#restore umask
>umask $old_umask
>
>как видите разница все таки есть.
>И причем существенная, которая стоила потери всех привилегий для secoff
>(я имею в виду доступ в home конечно)
>
>Так вот как только я раскоментировал строки и нового файла rsbac_init
>посуществу привел ее в первоначальный вариант и затем перезапусти
>установочный скрипт с rsbac все стало на свои места,
>то есть seccof and other  смогли попасть без проблем в свои домашние
>каталоги.
>
>Видимо имеет смысл оставить началный вариант отработки скрипта через su
>$name ...
>иначе не работает.
>
Нет, восстановления не будет.

su было из-за того что старым ядром не поддерживалось корректное 
выполнение некоторых операций с RC и ACL под "soft mode".
В новых ядрах все уже исправлено. Новое поведение более правильное и 
поэтому таковым и останется.

-О невозможности работы этого релиза secfiles со старым ядром написано в 
ChangeLog.
-Если бы обновление производилось под RSBAC ядром то проблемы вряд ли бы 
возникли (или в таком объеме). По крайней мере при обновлении secfiles 
сразу прозвучал бы отказ системы (not permited).

Как лечить в таких случаях:
- Скрипт rsbac_init_addon можно запросто запустить и без soft_mode  под 
пользователем secoff для восстановления.
- Со скриптом rsbac_init дела обстоят несколько хуже, но secoff может 
скопировать его к себе в домашний каталог, убрать проверки наличия "soft 
mode" , записей в /etc/lilo.conf etc. и запустить.

Вот так.
-------------------------------------------------
С наилучшими пожеланиями
Станислав Иевлев.

>
>
>Вот такая история.
>
>С Уважением
>	Дмитрий  savithur на dux.ru
>
>ISP DUX phone: +7(812)325-4877
>	  fax: +7(812)164-0827
>
>
>
>_______________________________________________
>Castle mailing list
>Castle на altlinux.ru
>http://altlinux.ru/mailman/listinfo/castle
>