форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Linux привязка / Linux)
Изначальное сообщение		[ Отслеживать ]

"setegid"	+/–
Сообщение от tux2002 (ok) on 23-Окт-10, 13:49
Я пользуюсь ОС Linux Slackware. У меня возник вопрос - почему пользователь самостоятельно не может менять эффективную группу на любую из тех, в которые входит, не использую setuid команды, то есть не через root. Я знаю о cap_set_gid - но эта возможность менять эффективную группу вообще на любую системную. В man setegid вообще о необходимых привелегиях почти ничего не сказано. Sg - setuid программа, и запускает ещё одну оболочку с нужной эффективной группой. Мне интересно почему нельзя сменить группу в текущей оболочке, с чем связано такое поведение системы? Где об этом можно почитать? Спасибо.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "setegid"	+/–
Сообщение от Aquarius (ok) on 24-Окт-10, 12:42
> Я пользуюсь ОС Linux Slackware. У меня возник вопрос - почему пользователь > самостоятельно не может менять эффективную группу на любую из тех, в > которые входит, не использую setuid команды, то есть не через root. > Я знаю о cap_set_gid - но эта возможность менять эффективную группу > вообще на любую системную. В man setegid вообще о необходимых привелегиях > почти ничего не сказано. Sg - setuid программа, и запускает ещё > одну оболочку с нужной эффективной группой. Мне интересно почему нельзя сменить > группу в текущей оболочке, с чем связано такое поведение системы? Где > об этом можно почитать? > Спасибо. видимо потому, что это был бы способ обойти ограничения доступа представьте каталог с доступом 705, у которого доступ для группы полностью закрыт, а тут вуаля, меняем gid, и он доступен
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "setegid"	+/–
	Сообщение от tux2002 (ok) on 24-Окт-10, 16:38
	> видимо потому, что это был бы способ обойти ограничения доступа > представьте каталог с доступом 705, у которого доступ для группы полностью закрыт, > а тут вуаля, меняем gid, и он доступен Дак sg тоже позволит сменить группу и зайти в каталог, только с участием root. А почему нельзя пользователю это делать самостоятельно. set-uid root на newgrp мне ещё понятно, для добавления группы в список групп процесса это видимо нужно. Но substitute group (sg) это сиволическая ссылка на newgrp, а для sg мне это непонятно.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "setegid"	+/–
	Сообщение от Aquarius (ok) on 25-Окт-10, 15:11
	>> видимо потому, что это был бы способ обойти ограничения доступа >> представьте каталог с доступом 705, у которого доступ для группы полностью закрыт, >> а тут вуаля, меняем gid, и он доступен > Дак sg тоже позволит сменить группу и зайти в каталог, только с > участием root. А почему нельзя пользователю это делать самостоятельно. set-uid root > на newgrp мне ещё понятно, для добавления группы в список групп > процесса это видимо нужно. Но substitute group (sg) это сиволическая ссылка > на newgrp, а для sg мне это непонятно. видимо потому, что это был бы способ обойти ограничения доступа представьте каталог с доступом 705, у которого доступ для группы полностью закрыт, а тут вуаля, меняем gid, и он доступен может соизволите понять то, что я написал?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема