Rozdil mezi pravy 711 a 701

Martin Mačok martin.macok na underground.cz
Pondělí Listopad 13 00:38:55 CET 2000


On Mon, Nov 13, 2000 at 12:21:03AM +0100, Michal Krause wrote:
> Takze jeste jednou a srozumitelne (doufam). Mam program, ktery se
> spousti prvotne pod rootem a po zjisteni pozadovane identity se prepne
> na uzivatele zavolanim setgid() a setuid(), pricemz jsem zkousel i
> setregid() a setreuid() se stejnym vysledkem. Tudiz, pokud se nemylim,
> nemel by byt zadny *id shodny s rootem, ktery vlastni (jakozto uzivatel
> i skupina) adresar /home. Nebo snad ano?

Nejjednoduseji si to overite tak, ze si zjistite, jaky je uid/gid
(euid/egid) v momente, kdy leze do adresare /home v obou pripadech ...

> Jinak to chovani by opravdu odpovidalo tomu, ze "vyhovuje-li skupina,
> ignoruji se prava pro 'others'", ale nevedel jsem, ze to takhle funguje,
> myslel jsem, ze to propadne do dalsich porovnani prav. 

Ano, presne tak. Ackoliv by se zdalo, ze kdyz jsou nekde prava 007 :),
tak ze vsichni tam muzou vsechno, ale ve skutecnosti je to tak, ze
vlastnik souboru nemuze nic, ani prislusnik skupiny souboru nemuze nic,
az opravdu ti 'others' muzou vsechno ...

> Je pravda, ze takto lze asi vytvorit vice potencialnich kombinaci
> pristupovych prav.

Presne tak. S timto trikem jde totiz udelat to, ze lze nekomu odebrat
nekam pristup tak, ze ho pridate do nejake skupiny ... (a napr. vsem
ostatnim tam pristup nechate).

[btw kolik uz jsem videl unixovych administratoru, kteri tento princip
neznaji :) ]

> No, kdybych vedel, kde je problem, tak se neptam :)

Treba nas jenom tak zkousite :)

-- 
< Martin Mačok    .-=  martin.macok na underground.cz  =-.   < iso-8859-2 > 
  \\. http://kocour.ms.mff.cuni.cz/~macok/  http://underground.cz/ .//
    \\\..         `-=    t.r.u.s.t   n.0  o.n.e     =-'        ..///


Další informace o konferenci Linux