[sisyphus] Блокировка экрана.

Afanasov Dmitry =?iso-8859-1?q?ender_=CE=C1_atrus=2Eru?=
Вс Янв 27 16:16:44 MSK 2008 

On Sun, Jan 27, 2008 at 02:09:17AM +0300, Dmitry V. Levin wrote:
> On Sat, Jan 26, 2008 at 10:38:06PM +0300, Afanasov Dmitry wrote:
> > On Sat, Jan 26, 2008 at 07:38:22PM +0300, Dmitry V. Levin wrote:
> > > > если он, тогда 
> > > > # chgrp chkpwd /usr/lib/chkpwd
> > > 
> > > Каталог /usr/lib/chkpwd и так принадлежит группе chkpwd.
> > у меня после установки xscrensaver не принадлежал.
> 
> А до установки xscreensaver принадлежал?
вот это не смотрел. файл оказывается принадлежит pam0_tcb - что-то в его
сторону я не думал. а как раз pam файлы hasher'ом распаковываются без
выполнения скриптов (--noscripts).

мне что-то интересно, а где тогда в инсталляторе скрипты отрабатывают?

> Ввиду особенностей установки вашей системы рекомендую выполнить
> # rpmverify -Va
> и посмотреть вывод на предмет неправильных прав на файлы.
спасибо за подсказку. 
# rpmverify -V pam0_tcb
......G.   /usr/lib/chkpwd

rpm --setperms pam0_tcb и rpm --setugids pam0_tcb дали следующее:
rpmverify -V pam0_tcb больше не ругается
а содержимое:
# ls -la /usr/lib/chkpwd      
итого 51
drwx--x---  2 root chkpwd    80 Янв  5 06:28 .
drwxr-xr-x 81 root root   44304 Янв 27 15:53 ..
-rwx------  1 root root    4932 Ноя  2  2006 tcb_chkpwd

rpmverify -V xscreensaver не ругается

# ls -l =xscreensaver
-rwx--s--x 1 root chkpwd 212552 Ноя 14 18:36 /usr/bin/xscreensaver

одно меня смущает: xscreensaver будет работать под моим пользователем. для
tcb_chkpwd прав на группу нет. 

могу и сам исправить, но интересно как должно бытьт реально.


> > > Не делайте так, пожалуйста, это категорически неправильно.
> > > Если какой-то screensaver не работает, то повесьте на него block bug.
> > знаю. правильнее было сделать как в courier, squid - отдельного
> > пользователя и прописать его в shadow и auth.
> 
> Отнюдь, правильно -- это повесить sgid-to-chkpwd на тот executable,
> который проверяет пароль.  Так сделан vlock, да и /usr/bin/xscreensaver
> в пакете xscreensaver-5.04-alt1 сделан так же.
как я понимаю именно такая ситуация у меня и сложилась: xscreensaver как
был так и сейчас xgid-to-chkpwd. и что делать с tcb_chkpwd?



rpmverify -Va я ещё отмучаю, спасибо за навеодку. как я полагаю после
hasher'ного rpm -ihv --noscripts --notriggers осталось достаточно много
интересностей.

-- 
 С уважением
 Афанасов Дмитрий
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 197 байтов
Описание: Digital signature
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20080127/113c4853/attachment-0002.bin>

Подробная информация о списке рассылки Sisyphus