[sisyphus] Атрибуты на kcheckpass

Sergey Vlasov vsu на altlinux.ru
Пн Июл 11 18:44:12 UTC 2011


On Mon, Jul 11, 2011 at 08:55:01PM +0400, Sergei O. Naumov wrote:
> Мнда... Все нашел и починил. Спасибо. Но почему тогда kdm позволял мне зайти? 
> Он ведь тоже в pam должен ходить!

kdm обращается к pam с правами, достаточными для проверки пароля
любого пользователя (в случае tcb для этого в минимальном варианте
достаточно групп shadow и auth; впрочем, для последующей обработки
входа пользователя всё равно потребуются полноценные права root).  При
действиях типа разблокировки экрана необходимо проверять только пароль
текущего пользователя, для чего в tcb достаточно только прав группы
shadow, но только при условии, что каталог пользователя в /etc/tcb и
персональный файл shadow в этом каталоге действительно принадлежат
этому пользователю (это как раз и есть основное преимущество схемы tcb
перед традиционным единым файлом shadow - вместо SUID root для утилит
типа passwd достаточно SGID shadow, и даже при обнаружении уязвимости
в таких утилитах не удастся получить доступ к паролям других
пользователей).
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 198 байтов
Описание: Digital signature
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20110711/78e9497a/attachment.bin>


Подробная информация о списке рассылки Sisyphus