Jeste k LPRng
Martin Mares
mj na atrey.karlin.mff.cuni.cz
Úterý Září 16 15:55:45 CEST 1997
Dobreho dne preji,
> Netyka se to primo Linuxu, ale v teto konferenci se uz o LPRng
> mluvilo, takze kladu dotaz:
>
> Mam sitovy tiskovy server (s LPRng-3.2.6). Chtel bych mit
> aspon minimalni autentikaci - predstavoval bych si to tak, ze
> server by akceptoval spojeni jen z privilegovaneho portu
> a veril vzdalenemu lp-demonovi jmeno uzivatele. To by asi ale vyzadovalo,
> aby lp-demon bezel (nebo aspon startoval) pod rootem (coz neni problem)
> a aby lpr a spol byli set-uid nebo set-gid lp, aby mohli zarazovat
> joby do fronty.
>
> Jak presne lze neco takoveho nakonfigurovat (lpd.perms)
> a je to bezpecne (muzu bez obav nastavit s-gid bit na lpr a spol)?
> Do nejakych slozitejsich autentikaci (PGP) bych se nechtel poustet.
Podle meho nazoru staci, kdyz na roota bezi lpd. lpr a spol vubec
nepotrebuji byt setgid, jezto narozdil od normalniho lp-spooleru
se u LPRng vse resi komunikaci s daemonem.
Ja osobne pouzivam takovouto konfiguraci /etc/lpd.perms:
(pro pozadavky na konkretni port staci k prislusnym ACCEPT SERVICE pridat
jeste PORT=0-1023).
DEFAULT REJECT
# Non-local machines are not allowed at all
REJECT SERVICE=X NOT IP=195.113.31.0/255.255.255.0,127.0.0.1
# Everyone can submit jobs, display the queue and status
ACCEPT SERVICE=R,Q,S,X,P
# Everyone can remove his own job
ACCEPT SERVICE=M SAMEHOST SAMEUSER
# The "magic" group can do everything
ACCEPT SERVICE=M,C GROUP=magic
# And local root too...
ACCEPT USER=root SERVER
Have a nice fortnight
--
Martin `MJ' Mares <mj na gts.cz> http://atrey.karlin.mff.cuni.cz/~mj/
Faculty of Math and Physics, Charles University, Prague, Czech Rep., Earth
"First law of socio-genetics: Celibacy is not hereditary."
Další informace o konferenci Linux