CUPS + smb tiskarna + krb5
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Čtvrtek Leden 31 12:13:47 CET 2013
On Thu, 31 Jan 2013, Luděk Finstrle wrote:
> /bin/su -p -c "KRB5CCNAME=\"DIR:\$(/bin/ls -td /run/user/\`/usr/bin/id
> -u\`/krb5cc_* | /usr/bin/head -n1)\" /usr/bin/smbspool $1 $2 \"$3\" $4
> \"$5\"" $2
Nedávno tady byla taková menší diskuse o tom, jak předávat bezpečně
parametry dovnitř su... (Jistě, spouští se to pod rootem a tak, ale když
už chcete žonglovat s granáty, tak je pořád lepší z nich nevytahovat
pojistky.)
> Potud dobry, ale mam problem, ze se selinuxem v rezimu enforcing mi to
> neprojde su pres pam_rootok a tudiz to nefunguje.
A jak víte, že to neprojde přes pam_rootok? Napsalo se něco do logu?
(Mimochodem, v audit.log mohou být i hlášky, které audit2allow nedokáže
zpracovat a ignoruje.)
> pam_rootok ma podporu selinuxu, ktera navic checkuje korektnost a ta
> pada, ale nevim co kde nastavit, abych cupsu (pod rootem) povolil su.
Korektnost čeho? Podle zdrojáků to vypadá, že provádí volání
selinux_check_passwd_access s parametrem PASSWD__ROOTOK. Hádám, že budete
potřebovat něco jako "allow cups_t self:passwd { rootok }"
Jestli je to tady tím a jestli se o tom nic nenapíše do audit logu, tak by
to bylo možná na nějaké hlášení, že by se to tam zaznamenat mělo.
--
Pavel Kankovsky aka Peak / Jeremiah 9:21 \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /
Další informace o konferenci Linux