On Mon, Oct 29, 2001 at 05:03:01PM +0100, Frank Engler wrote:
> Dann such mal im Archiv z.B.
> http://www.mail-archive.com/debian-user-de%40lehmanns.de nach folgendem
> Thread: Permissions für Console-User anpassen?
> Da ist unter anderem von einem pam_group und pam_console Modul die Rede.
> Vielleicht ist das, was Du brauchst. Da steht auch was von Sicherheits-
> löchern dadurch.
Jep, die bestehen prinzipiell darin, daß jemand, der (z.B.) nur in 'audio'
einsortiert wird, wenn er sich auf :0 einloggt, während einer solchen
Sitzung problemlos eine setgid audio 'bash' anlegen könnte. Und schwupps,
hat er die Rechte immer.
Das Feature ist nicht wirklich für sowas geeignet, ausser du mountest
/home und /tmp 'nosgid' oä. Sondern es hilft gegen das versehentliche
remote Starten eines MP3-Players o.ä., so daß der momentan lokal arbeitende
User nicht ans Sound-Device kommt.
Du glaubst gar nicht wie häufig mir das schon passiert ist, daß ich
irgendwas auf einem Rechner X Kilometer bzw. sogar Zeitzonen weg starte und
mich dann wunder daß ich nix höre oder daß es eine Fehlermeldung von wegen
'/dev/dsp not found' gibt.
--
Jens Benecke ········ http://www.hitchhikers.de/ - Europas Mitfahrzentrale
· . ·
· · . · . · <-------- verdächtiges weisses Puder
· . · . .
· ·
Attachment:
pgprCRE9p2srv.pgp
Description: PGP signature