[castle] Сизиф и Кастл

Stanislav Ievlev inger на altlinux.ru
Вт Дек 25 18:00:38 MSK 2001 

Nikita Gergel wrote:

>On Tue, 25 Dec 2001 17:37:54 +0300
>Stanislav Ievlev <inger на altlinux.ru> wrote:
>
>>Nikita Gergel wrote:
>>
>>>On Tue, 25 Dec 2001 10:09:59 +0300
>>>Stanislav Ievlev <inger на altlinux.ru> wrote:
>>>
>>>>Nikita Gergel wrote:
>>>>
>>>>>On Mon, 24 Dec 2001 15:54:03 +0300
>>>>>Stanislav Ievlev <inger на altlinux.ru> wrote:
>>>>>
>>>>>>Fenix wrote:
>>>>>>
>>>>>>>HI All
>>>>>>>Меня интересует такой вопрос:
>>>>>>>Должны ли в принципе пакеты из сизифа (не src) сразу ставиться в Кастл ?
>>>>>>>
>>>>>>Должны
>>>>>>
>>>>>>>Вопрос не совсем понятен, так как с одной стороны в Кастле есть ограничения
>>>>>>>в случае RSBAC - достаточно сильные (а в сизифе наверняка пакеты этого не
>>>>>>>поддерживают или нет ?).
>>>>>>>
>>>>>>На время обновления ограничения можно снять.
>>>>>>
>>>>>В том-то и вопрос - как? я под secoff'om в rsbac_menu отключаю все модули(RC,FF,MAC), однако модуль AUTH в списке не выводится, как быть? Ведь не ребутиться без RSBAC'a же =\
>>>>>
>>>>А чем собственно вам мешает AUTH? Он не вносит никаких ограничений на 
>>>>доступ к файлам. Если вы не изменяли конфигурацию RSBAC по-умолчанию, то 
>>>>лучше пользоваться скриптами enable/disable install.
>>>>
>>>дело в том, что при установки пакета бывает так, что cpio выдает, что unable to unlink file-REMOVE, где file у меня было httpd и другие. При етом пакет не ставится, более того - удаляется старый пакет! Особенно интересно было когда так обновился пакет su ;) Пришлось бежать на консоль(слава богу что под рутом на консоле можно было логиниться).
>>>
>>>Именно этим и мешает AUTH - в /var/log/messages именно он и ругался =\
>>>
>>Можно пример из /var/log/messages
>>
>>
>
>apt-get install login
>
>tail /var/log/messages:
>Dec 25 17:51:32 ns kernel: rsbac_adf_request(): request RENAME, caller_pid 5238, caller_prog_name rpm, caller_uid 0, target-type FILE, tid Device 3:1 Inode 4327 Path /bin/login, attr none, value 0, result NOT_GRANTED by AUTH
>Dec 25 17:51:32 ns kernel: rsbac_adf_request(): request DELETE, caller_pid 5238, caller_prog_name rpm, caller_uid 0, target-type FILE, tid Device 3:1 Inode 4327 Path /bin/login, attr nlink, value 1, result NOT_GRANTED by AUTH
>
Спасибо. Вы кажется нашли багу в enable-install.
Если не ошибаюсь, надо снимать auth_may_setuid с /bin/login.

>
>
>


----------- следущая часть -----------
3QЪ╕*^╝f╒≈В╡ы^Щ╚miхfz{lЪm4в]╤ГЩ_w╥звoз╤ж°├g╖╤f

Подробная информация о списке рассылки Castle