[devel] Re: IA: /usr/sbin/gnome-pty-helper

[Dmitry V. Levin]

On Fri, Oct 04, 2002 at 06:02:12PM +0700, Alexey Morozov wrote:
> > Есть привилегированный helper (sgid-utmp /usr/lib/utempter/utempter),
> > который может быть запущен только процессом, входящим в группу utempter
> > (или рутом). Таким образом, те пользовательские приложения, которым мы
> > доверяем вносить изменения в utmp&wtmp, делаются sgid-utempter. При этом
> > _все_без_исключения_ остальные sgid-utmp приложения из системы убираются.
> Ну, в этой схеме есть один недостаток: у нас не будет GTK'шных
> терминалов. Либо все такие терминалы _обязаны_ делать
> setresgid(getgid()...) до инициализации графической подсистемы.
> Возможно, последнее - вполне разумное требование.

Одновременно придется запретить им создавать новые файлы.

> P.S. setresgid - это чтобы назад пути не было. Если можно забыть про
> сохраненный gid, то можно делать setegid(getgid())

Нельзя - gtk проверяет все три id.


--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20021004/07adb457/attachment-0001.bin>