[castle] root

Сб Июн 9 19:37:19 MSD 2001

Dmitriy Gnidchenko wrote:

>>Используйте vim вместо vi.
>>
>Сори не знал.
>
>>>>добавьте в /etc/lilo.conf append="rsbac_auth_enable_login
>>>>rsbac_softmode"
>>>>
>>правильно ли написаны были параметры?
>>
>
>image=/boot/vmlinuz-up-rsbac
>    label=linux-up-rsbac
>    root=/dev/hda2
>    append=" rsbac_auth_enable_login rsbac_softmode"
>    read-only
>Вот что стояло
>и в /proc/cmd...
>было упоминание на все эти формы  загрузки.
>
>>>>Удалите каталоги /rsbac
>>>>Удалите /var/lib/rsbac/*
>>>>
>>>>Загрузите ядро RSBAC. Должно появиться снова "Adjusting RSBAC...
>>>>
>>[OK]".
>>
>Ура сия надпись все таки появилась, но все остается по прежнему.
>Если не ошибаюсь, каталог с настройками RSBAC должен создаваться на всех
>монтируемых дисках системы, то есть в данном  случае у меня.
>/
>/homt
>/var
>/usr
>но реально создается только в каталоге /usr и / (root)
>
Нет - каталог появится, только после того как произошли настройки. Так 
как addon не отработал - вот и нет /rsbac везде.

>
>
>>Значит что-то не до конца сделано. Можете посмотреть if'ы в
>>/etc/rc.d/init.d/rsbac_init и в /etc/rc.d/init.d/rsbac_addon
>>Возможно у вас ситуация когда он выходит.
>>
>>Скрипт не работает если:
>>0. есть /var/lib/rsbac/*.lock
>>
>
>При перезаргузки с ядром без RSBAC действительно нашел lock файл
>
>>1. если это ядро rsbac
>>
>То есть, система должна быть настроена с простым ядром???
>Хм...
>
Нет - речь идет о проверке именно на rsbac-чное ядро.

>>2. ядро действительно загружено с параметром rsbac_softmode
>>
>Да, во всяком случае пытался загрузится с ним.
>и в /proc/ это было указано явно.
>
>>3. строчка rsbac_softmode присутствует в /etc/lilo.conf
>>
>
>Данная строка была когда я загрузил систему с простым ядром и еще не
>заргужался с ядром RSBAC
>
>>4. найдены утилиты rsbac: auth_set_cap,attr_set_fd,...
>>
>Но ведь эти утилиты нужны для работы с RSBAC, как без них будет что либо
>работать???
>
Вот и проверяется - есть ли они.

>
>
>>5. делается su и запускается rsbac_init_addon если заведен пользователь
>>с UID 400
>>
>По какой-то,  пока не понятной, причине на этом и затыкается.
>пробовал делать просто заходил как рут в после того как загружалась вся
>система в softmode.
>su [офицер] -c /etc/rc.d/scripts/rsbac_init_addon
>вываливается со словом permission deny
>
только что загрузил систему с rsbac_softmode -

su [офицер] -c /etc/rc.d/scripts/rsbac_init_addon - отработало великолепно.

А просто su [офицер] работает? Права нормальные на скрипте стоят?

>
>
>
>>6. если есть утилиты attr_set_fd rc_get_item rc_set_item
>>attr_set_file_dir ....
>>
>???
>
>>кажется все...
>>
>М... да, озадачили %(
>
>May 11 16:26:32 himera kernel: rsbac_adf_request(): request
>MODIFY_ATTRIBUTE, caller_pid 256, caller_prog_name attr_set_fd, caller_uid
>0, target-type FILE, tid Device 3:6 Inode 19706 Path //sbin/sshd, attr
>auth_may_setuid, value 1, result NOT_GRANTED by FF RC AUTH ACL
>...
>...
>May 11 16:26:32 himera kernel: rsbac_adf_request(): request CHANGE_OWNER,
>caller_pid 357, caller_prog_name su, caller_uid 0, target-type P
>ROCESS, tid 357, attr owner, value 400, result NOT_GRANTED by AUTH
>
Правильно, только потому что это soft_mode - операции допускаются

>
>Это лог стразу после загрузки в softmode с ядром rsbac
>судя по всему на этом и останавливается
>
>вот и в итоге не срабатывает addon.
>
Это понятно - но вот почему не срабатывает? Может пятна на солнце?

Проверьте все последовательно:
1. Загрузитесь с параметром rsbac_softmode (дайте параметр при старте в 
приглашении LILO)?
1.1 Проверка - cat /proc/rsbac-info/debug - там должна быть единичка 
напротив softmode.
2. "su secoff" должно работать без вопросов.
3. если проблема не в этом - посмотрите какие команды в скрипте - 
попробуйте их прогнать вручную под secoff. Может какая из них и скажет - 
not permitted (такое может быть при старых утилитах и  новом ядре).

>
>
>>Я к сожалению не смогу смоделировать вашу проблему так как у меня все
>>настроилось при проверке  CD.
>>
>Да ни чего страшного, разберемся.
>
>Это может зависеть от того, что я все ставлю с винчестера, а не с СD???
>При первой Бете я ставил с CD.
>
>Спасибо.
>

----------- следущая часть -----------
3QЪ╕*^╝f╒≈В╡ы^Щ╚miхfz{lЪm4вN╢ВВ6МчЩсз╤ж°├g╖╤f