ООО «Дельта-Технология»

Вход на хостинг

IT-новости

20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла

Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......

30.07.2015 Ищем уникальный контент для сайта

Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......

11.05.2015 Распространённые ошибки разработчиков сайтов

Не секрет, что в сети Интернет насчитывается миллионы сайтов, и каждый день появляются тысячси новых......

все новости компании

rss лента новостей

bash-2.05b# su secoff

setuid: Operation not permitted

Для того чтобы разрешить смену uid, загружаемся с параметром rsbac_auth_enable_login (все остальные параметры описаны в файле README-kernparam). Устанавливать параметры файлов можно при помощи команд (вызванные без параметров, они выдают справку) или, что более наглядно, при помощи меню. Первоначально меню можно сконфигурировать, используя rsbac_settings_menu. Теперь устанавливаем параметры файла /bin/login и незапустившихся демонов, для этого используем команду rsbac_fd_menu имя_программы или rsbac_menu и далее выбираем нужный файл. Обратите внимание, сколько появилось дополнительных параметров у файлов, но работают только те, которые соответствуют запущенным модулям. За сменой uid, как вы помните, следит модуль auth, для того чтобы этот модуль «не замечал» смену uid процессом на любой, у него должен быть установлен параметр auth_may_setuid, установку которого и надо проконтролировать для /bin/login, после чего уже можно загружаться и входить в систему в обычном режиме. Для демонов же лучшим вариантом будет жестко зафиксировать uid, на которые может переходить процесс, запущенный от его имени. Для этой цели воспользуемся параметром auth_capabilities, который позволяет задать список (или диапазон) допустимых uid, на которые может переходить программа. А узнать, какой uid требуется каким процессам, очень просто, открываем под root системные логи (secoff туда не пускают) и ищем подобные сообщения:

Oct 31 22:58:13 stas kernel: rsbac_adf_request(): request CHANGE_OWNER, caller_pid 89,

caller_prog_name sendmail, caller_uid 0, target-type PROCESS, tid 89, attr owner,

value 15, result NOT_GRANTED by AUTH

В которых говорится, что процесс с именем sendmail безуспешно пытался сменить (CHANGE_OWNER) свой текущий uid с 0 на value 15 и получил от ворот поворот от AUTH. Теперь осталось добавить uid 15 в список auth_capabilities для программы sendmail, после чего проблем с его запуском уже не будет.

Теперь для полноценной работы давайте познакомимся с возможностями некоторых модулей поподробнее.

Предыдущая страница	Оглавление	Следующая страница

[001] [002] [003] [004] [005] [006] [007] [008] [009] [010] [011] [012] [013] [014] [015] [016] [017] [018] [019] [020] [021] [022] [023] [024] [025] [026] [027] [028] [029] [030] [031] [032] [033] [034] [035] [036] [037] [038] [039] [040] [041] [042] [043] [044] [045] [046] [047] [048] [049] [050] [051] [052] [053] [054] [055] [056] [057] [058] [059] [060] [061] [062] [063] [064] [065] [066] [067] [068] [069] [070] [071] [072] [073] [074] [075] [076] [077] [078] [079] [080] [081] [082] [083] [084] [085] [086] [087] [088] [089] [090] [091] [092] [093] [094] [095] [096] [097] [098] [099] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157]