[castle] read proc - Operation not permitted
Marat Khairullin
xmm на rambler.ru
Вт Окт 23 05:03:18 MSD 2001
On Sun, 21 Oct 2001 19:18:37 +0300 (MSK)
Marat Khairullin <xmm на rambler.ru> wrote:
> kernel24-up-rsbac-2.4.7-alt2
>
> Есть задачка - uux должен запускать програмку /home/xxx/yyy
> права на запуск, чтение xxx и yyy есть всем, но
> uucp/Log:
> uuxqt myhost myuser (2001-10-21 02:24:08.11 13710) ERROR: Not permitted to execute /home/xxx/yyy
Sorry. Тривиальная ошибка в имени исполняемого файла, - следствие ночных работ :),
<skip>
> PS: Теперь не пускает никого кроме secoff'а:
> Could not chdir to home directory /home/myuser: Operation not permitted
Вылечилось посредством rsbac_menu -> Switch module -> все в "off".
И переходом на не rsbac ядро.
Надеюсь, что вернусь, когда будет нормальная документация по rsbac.
Было бы здорово иметь soft_mode флаг не только для всего ядра, но и для каждой команды, когда ядро не в soft_mode.
Не всегда есть возможность с имитировать сервачную конфигурацию на тестовой машине и заранее все отладить.
Пару раз была ситуация, когда после сбоя питания и из-за другой "железной" проблемы летела база rsbac.
Не знаю как следит rsbac за целосностью своей базы, но гипотетически есть возможность получения бОльших прав.
И не гипотетически, а наверняка - получаем отказ некоторых сервисов, что тоже не приятно если сервер в другом городе.
Может стоит хранить данные rsbac'а в более надежном месте, чем файловая система
(в моем случае была reiserfs, хотя может именно это и подвело. К сожалению нет возможности
ознакомиться с докладом `Журналируемые файловые системы для GNU/Linux: мифы и реальность`, а было бы интересно)
одно дело потерять хидер какой-нибудь или даже может либу, но не особо важную и другое - только одну запись из rsbac.
Для меня это стоило неделю работы, а фирме - кругленькую сумму.
Конечно, можно сказать, что - Замок-то бета, но в конфе вроде бы проскакивало, что через месяц должен выйти релиз,
а за такой срок можно исправить только доки...
--
Marat Khairullin 8-> mailto:xmm на rpolice.ru
www.rpolice.ru Marat.Khairullin на f92.n5049.z2.fidonet.org
Подробная информация о списке рассылки Castle