パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

グループに特定権限を与えられるCapability Override LSM」記事へのコメント

  • Webmin (スコア:2, 参考になる)

    by Anonymous Powered (12649) on 2003年12月05日 9時16分 (#448590) 日記
    Webminでは、Webmin UserをUNIX authenticationで登録した上で、
    所属するWebminグループに対して特定モジュールの利用権を持たせる
    ことで、Webminグループベースでこれと似たようなことができますね。

    # Webminの一番おいしいところはGUIではないと思っているのでAP
    • Re:Webmin (スコア:2, 参考になる)

      by one-one (17888) on 2003年12月05日 10時19分 (#448629) 日記

      Webminではないですが RedHat系にあった netcfgというコマンドもユーザが Interfaceをいじるためのオプションがあったような… この場合はGroupで制限とかはなかったような気もしますけど

      でも実際問題 ifconfig の例を考えると

      1. cp /usr/sbin/ifconfig /usr/bin/ifconfig2
      2. chgrp netadmin /usr/bin/ifconfig2
      3. chmod o-x /usr/bin/ifconfig2
      4. chmod u+s /usr/bin/ifconfig2
      とかやれば netadmin というGroupに対してそのような権限を与えることができると思うので あまりサンプルとしては面白くないような気がしますねぇ. ifconfigの別コマンド用意するならあまり変らないし(/usr/sbinにPathが通ってない一般ユーザも多いので/usr/binに置いてみました)
      もっと面白い/便利な使い方があると思うんですけど

      親コメント
      • by yosshy (3545) on 2003年12月06日 2時49分 (#449186) 日記
        例えば、FTP や WebDAV のデーモンに suid や chown できる特権を与えるとか出来そうです。そうすればこれらが root 権限で動く必要はありません。
        親コメント
        • by Anonymous Coward
          rootで動く必要は無くなるけど、結局root盗られたのと同じ事になっちゃいますわなぁ
          rootにsuidした実行ファイルをexecしちゃえば何でもアリなので。

          Execを抑止するケーパビリティがあるといいのかもしれない。

      • by Anonymous Coward
        setuid root しなくてもよい,というのがウリかと...

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...