Re: ntfs-3g и монтирование непривилегированным пользователем
Dmitrii Kashin -> debian-russian@lists.debian.org @ Sat, 08 Sep 2012 23:11:35 +0400:
>> DK> Иными словами задача состоит в том, чтобы обычному пользователю, не
>> DK> состоящему в группе sudo, дать возможность монтировать флешку с ntfs на
>> DK> борту.
>>
>> Я в таких случаях обычно не ленюсь лишний раз глянуть в man sudoers и
>> прописать разрешение "обычному пользователю" без пароля выполнять
>> конкретную команду. Или, как в данном случае, две. Нет, я понимаю, что
>> лишних пять символов вводить тоже лень. Поэтому у меня alias 0="sudo ",
>> и лишних символов остается только два.
DK> На данный момент у меня (ленивого, конечно) в sudoers написано:
DK> --------------------
DK> ...
DK> %users ALL= (root) NOPASSWD: /bin/mount /mnt/*, /bin/umount /mnt/*
DK> ...
DK> --------------------
DK> Вы, я так понимаю, именно это мне и предлагаете.
DK> Однако мне кажется, что должна быть возможность обойтись без
DK> делегирования рутовых прав пользователю.
Дык эта, sudo, в отличие от su, делегирует рутовые права не
пользователю, а запущенному оным пользователем процессу. Чтобы вызвать
mount(2), это в любом случае надо сделать, так или иначе. Ради опции
user, и только ради нее /bin/mount имеет установленный suid-бит. Это
Вас не пугает?
Ну вот, собственно, в ругани предлагали поставить suid еще на хелпер
ntfs-3g, в дополнение к mount (возможно, предварительно пересобрав его).
Заметим, сам /bin/mount ведет себя разумно параноидально - ему надо
запустить какой-то левый хелпер, он и сбрасывает рута, на всякий случай.
Подозреваю, что не просто так.
Я подозреваю, что вариант с sudo окажется более безопасным, чем suid на
mount.ntfs-3g, потому что самозащиту оного хелпера проверяли куда
меньше, чем самозащиту mount и sudo. Я, в частности, сильно сомневаюсь,
что он вообще умеет смотреть в fstab.
Reply to: