2.6.8.1 и запись cd/dvd 0

GNU/Linux, UNIX, Open Source → *BSD и другие системы

Genie написал 30 августа 2004 года в 00:50 (702 просмотра) Ведет себя как мужчина; открыл 40 тем в форуме, оставил 4758 комментариев на сайте.

… через ATA-интерфейс возможна только под рутом.

ошибка на стадии получения возможностей привода

причём в 2.6.7 всё работало замечательно.

так что — не спешите обновляться.

на днях проверю с обновленными версиями cdrecord и cdrdao.

cdrecord 2.0+a27

cdrdao 1.1.9

Ответить Цитировать

vovans 01:29, 30 августа 2004

Спешим, но на 2.6.9, когда выйдет =)

Кстати, а где БутСплешь достатьможно под новое ядро, кто в курсе?

Ответить Цитировать

Genie 15:03, 30 августа 2004

Обсуждения по теме на Linux Kernel Mail Lists:

http://lkml.org/lkml/2004/8/15/189

http://lkml.org/lkml/2004/8/15/159

Цитируя Alan Cox ( http://lkml.org/lkml/2004/8/15/200 )

2.6.8 tightened the security of some of the commands. That in part will need adjustment but may mean K3B needs to run as root to burn CD’s on 2.6.8

впрочем, это относится не только к K3B, это относится и к остальным программам, использующим cdrecord.

А между тем, cdrecord имеет suid. Т.е. euid более роли в этом не играет.

Кстати, с cdrdao ситуация иная — suid помогает. Вот только suid на cdrdao — верный способ дать удить систему.

Ответить Цитировать

Genie 15:15, 30 августа 2004

Читая несколько далее, находим ( http://lkml.org/lkml/2004/8/16/104 ):

Due to the newly added command filtering, you now need to run cdrecord as
root. Since cdrecord will drop root privileges before accessing the drive,

setuid root won’t help.

This means you will have to run cdrecord and k3b as root!

IMHO it is more secure to simply disable filtering, and run the software as non-root.

This patch restores the behaviour of previous kernels, security issues included:

— linux-2.6.8/drivers/block/scsi_ioctl.c~ 2004-08-16 14:16:57.000000000 +0200

+++ linux-2.6.8/drivers/block/scsi_ioctl.c 2004-08-16 14:36:22.562908552 +0200

@@ -196 +196 @@

- if (verify_command(file, cmd))

+/* if (verify_command(file, cmd))

@@ -198 +198 @@

-

+*/

-

И в ответе на это ( http://lkml.org/lkml/2004/8/16/124 ):

I can’t confirm this.
I also have LITE-ON LTR-52327S and suid-root cdrecord burns just fine with

kernel 2.6.8.1. It’s cdrecord 2.00.3 from Slackware. (I don’t use any

graphic front end). cdrecord -checkdrive tells among other things this:

Supported modes: TAO PACKET SAO SAO/R96P SAO/R96R RAW/R16 RAW/R96P RAW/R96R

Хотя Alan Cox ругнулся ( http://lkml.org/lkml/2004/8/16/130 ):

> This patch restores the behaviour of previous kernels, security issues included:
Like allowing any user to erase your drive firmware. What you could do

which is much more useful is printk the command byte that gets refused

and see if you can pin down what commands are being blocked that

are needed by K3B

———

Мдааааааааа….. :(

Ответить Цитировать

fly4life 15:27, 30 августа 2004

Нда… Т.е. дело вовсе не в глюке ядра 2.6.8.1, а cdrecord теперь нужно будет всегда (и в 2.6.9, и в 2.6.10, и в…) пускать под рутом?

Ответить Цитировать

Genie 15:31, 30 августа 2004

Нда… Т.е. дело вовсе не в глюке ядра 2.6.8.1, а cdrecord теперь нужно будет всегда (и в 2.6.9, и в 2.6.10, и в…) пускать под рутом?

Мммм.. как раз в 2.6.8.1 и дело.

Ужесточена политика в плане безопасности scsi команд.

Тем самым появляется противоречие: с одной стороны, надо как бы разрешить простым смертным писать на cd/dvd, а с другой стороны — надо защитить hdd от уничтожения информации теми *же* командами.

Ответить Цитировать

Genie 15:48, 30 августа 2004

некоторый вариант решения этой проблемы: http://lkml.org/lkml/2004/8/17/233

надо бы проверить, так как комментариев к этому не присутствует. и это за 2 недели-то…

Ответить Цитировать

Longobard 17:12, 30 августа 2004

в ck это пофиксено. Юзайте ck :) kernel.kolivas.org

Ответить Цитировать

Genie 18:19, 30 августа 2004

единственный патч, который мне нужен — я и руками прикручу.

большего мне не надо.

откат на 2.6.7 — в свете использования nfs — не является разумным решением. впрочем, не является так же и разумным по причинам, описанным в отцитированных участках.

разбираться как оно реализовано в ck — особого желания нет. может ты просветишь кусочком патча? :)

Ответить Цитировать

Longobard 18:35, 30 августа 2004

Genie
единственный патч, который мне нужен — я и руками прикручу.
большего мне не надо.

откат на 2.6.7 — в свете использования nfs — не является разумным решением. впрочем, не является так же и разумным по причинам, описанным в отцитированных участках.

разбираться как оно реализовано в ck — особого желания нет. может ты просветишь кусочком патча? :)

так же как и тут :) Просто Коливас этот патчик (который ты привел выше) засунул в 2.6.8.1-ck1 и выше.

Ответить Цитировать

Genie 19:59, 30 августа 2004

Нолемоций :(((

прикрутился патчик на ура

только cdrecord при попытке записи болванки в лог пишутся сообщения об ошибке при выполнении scsi команды с кодом 0×0.

Ответить Цитировать

Longobard 23:23, 30 августа 2004

Genie
Нолемоций :(((
прикрутился патчик на ура

только cdrecord при попытке записи болванки в лог пишутся сообщения об ошибке при выполнении scsi команды с кодом 0×0.

Это вроде INQUIRY