[devel] ScreenLock и kerberos

Paul Wolneykien manowar at altlinux.org
Wed Aug 19 14:56:53 MSD 2009


В Срд, 19/08/2009 в 12:03 +0400, Max Ivanov пишет:
> Естественно этот файл имеет права 0400, чтобы юзеры не могли его
> потырить и использовать в корыстных целях.
> 
> В итоге всё выливается в то, что когда скринсейвер прогоняет пароль
> через PAM он делает это от имени пользователя, что ведет к
> невозможности его проверки, т.к. /etc/krb5.keytab не доступен на
> чтение.

  Эта проблема касается не только хранителей экрана, но и прочих
программ. Например, прокси-сервера squid. Существует по крайней мере 2
общепринятых пути решения этой проблемы:

  1. использование вспомогательных программ (helpers), работающих с
правами суперпользователя (suid root);

  2. использование дополнительного ключевого файла, путь к которому
определяется значением переменной KRB5_KTNAME в окружении процесса.

  В последнем случае использование вспомогательных программ тоже не
исключается, однако получаемые ими привилегии ниже, чем у
суперпользователя.
  Возможно, что имеет смысл разработать схему защиты, аналогичную той,
которая используется в tcb: для доступа к секретной информации процесс
должен обладать привилегиями групп auth и shadow, одна из которых
приобретается посредством sgid.

  Павел.




More information about the Devel mailing list