в доках, Егор Шиллинг советует не давать разрешение пользователям на запись в устройство (/dev/sg), а использовать suid — я так и сделал:
#groupadd burn
#chmod 4710 /usr/bin/cdrecord
#chmod 4710 /usr/bin/readcd
#chmod 4710 /usr/bin/cdrdao
#chgrp burn /usr/bin/cdrecord
#chgrp burn /usr/bin/readcd
#chgrp burn /usr/bin/cdrdao
#usermod -G users,burn botrops-schlegelii
команда от пользователя «botrops-schlegelii»:
$cdrecord dev=0,0,0 /etc/shadow
не выполняется
$cdrecord dev=0,0,0 /home/botrops-schlegelii/Mail/incoming/spam
выполняется успешно
-чего и добивался
(Егор писал что cdrecord сбрасывает полномочия )
Вопрос:
а безопасно ли таким образом поменять права на dvd+rw-tools ?:
#groupadd dburn
#chmod 4710 /usr/bin/dvd+rw-mediainfo
#chmod 4710 /usr/bin/dvd-ram-control
#chmod 4710 /usr/bin/dvd+rw-booktype
#chmod 4710 /usr/bin/growisofs
#chmod 4710 /usr/bin/dvd+rw-format
#chgrp dburn /usr/bin/dvd+rw-mediainfo
#chgrp dburn /usr/bin/dvd-ram-control
#chgrp dburn /usr/bin/dvd+rw-booktype
#chgrp dburn /usr/bin/growisofs
#chgrp dburn /usr/bin/dvd+rw-format
#usermod -G users,dburn botrops-schlegelii
я посмотрел исхоники и нашёл там что-то типа
про сброс suid — но не понял …
ps
заранее спасибо за ответ
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
а на каком ядре ты это делал?
потому как начиная с 2.6.9 необходимо _снять_ suid с cdrecord, что бы оно вообще заработало.
2.4.32-можно считать ваниллой (модули lm_sensors,cdfs)
ide-scsi включено
хз, как оно на 2.4.*… не помню уже. сколько времени прошло — последнее я пробовал, кажется, 2.4.22, да и то, недолго… :)
с точки зрения безопасности — ну. проверь. поставь suid — и попробуй записать на диск какой-нить системный зайл, недоступный пользователю.
кстати. cdrdao не рекомендую делать просто так suid-ным. пошнижение привилегий у него на тот момент. что я пробовал — а это было при переходе 2.6.8->2.6.9 — затирать чужие файлы у меня получалось…
проверил — работают dvd+rw-tools-6.1 c suid почти что нормально,
но ,в отличие от cdrtools/cdrdao, есть очень неприятная проблема:
на ~15секунд фризиться вывод символов на консоль и ввод с клавиатуры
(что-то типа — время заполнения буфера + 1секунда_x_max_writing_speed(+0.8%)