tzv. capability (Was: Sudo - po update prestal akceptovat \,)

[Pavel Machek]

Ahoj!

> > Co takhle 
> > rwsrwxrwx gimmecaps
> 
> Binarka, co ma setuid (predpokladam, ze na roota) a zaroven do ni muze
> kdokoli zapisovat...to ma byt nejaky vtip?!

No, byla to chyba. (Ale stejne se s-bit schazuje otevrenim pro zapis,
takze to neni *takova* bota ;-). Melo to byt rwsr-xr-x root.root gimmecaps.

> > binar, ktery pustis, a on zkontroluje pod jakym uzivatelem jsi, a
> > podle toho spusti tebou specifikovanou vec s rootem specifikovanejma
> > capabilitama? [Jestli je mozny menit capability i nekomu jinymu nez
> > sobe, tak by to slo i hezcejc.]
> 
> Problem je v tom, ze podle mych poznatku to nejde skoro nijak, aniz by
> se vrtal v jadre: 1. chci-li je nastavit sam na sobe, pak to musim udelat
> jako root a vsechno ztratim v okamziku, kdy se prepnu na jineho uzivatele
> (pro ucely pristupu k fs neni uplne dobre si ponechat euid 0), 2. chci-li
> je nastavit na nekom jinem, musim mit CAP_SETPCAP, kterezto privilegium je
> ve standardnim jadre docela dobre zazdene.

Jestli je to chyba tak marcelo urcite rad aplikuje patch ;-). [Co
znamena dobre zazdene?]
									Pavel
-- 
(about SSSCA) "I don't say this lightly.  However, I really think that the U.S.
no longer is classifiable as a democracy, but rather as a plutocracy." --hpa