* Joerg Schilling (Joerg.Schilling@fokus.fraunhofer.de) [01.10.07 18:43]: > >Erwaehnte Joerg nicht ein paar Mails vorher, dass dafuer bei Linux > >einfach noch irgendwelche Userland-Tools fehlen? > > Korrekt: Linux hat kein "pfexec". > > Unter Solaris gibt es eine Rollen und Rechte Datenkank in /etc/security > und das Programm pfexec wertet diese Datenbank aus und startet Programme > mit bestimmten Rechten. > > Linux hat zwar inzwischen auch feingranluare Rechte im Kern aber die einzige > Möglichkeit diese zu nutzen besteht darin daß man erstmal root ist..... > Damit gewinnt man letztlich nichts. > Dumme Frage: kann man das nicht mit drop privileges lösen? > > Um auch gleich das unangebrachte Geschimpfe bestimmter anderer Leute zu > beantworten: > > - Linux erlaubt einem Nicht-Root Prozess _nicht_ beliebige SCSI Kommandos > zu verschicken. > Und das ist gut so! > - cdrecord/cdda2wav/readcd verschicken aber je nach Sachlage Kommandos > die nicht in der Liste der "unbedenklichen" SCSI Kommandos stehen. > Wenn diese Programme dabei nicht root Rechte besitzen, dann sind sie > nicht in der Lage das zu tun was sie wollen. Dann lassen sie es und schmeissen einen Fehler. So mache ich das jedenfalls in meinen Programmen. Ich nehme meinen Benutzern nicht das denken ab. > > - cdrecord/cdda2wav/readcd sind zwar selbstanpassend und bemerken daß > sie nicht alle Kommandos verschicken können, aber es gibt Situationen > die dann halt gar nicht beherrschbar sind. > s.o. > - Selbst wenn cdrecord sich anpassen kann heißt das im Allgemeinen daß > cdrecord dann nicht alle Fähigkeiten des Brenners korrekt unterstützen > kann wenn es nicht die notwendigen Recthe besitzt. > Dann sagt es das und beendet sich. Eine -f option kann dieses Verhalten überschreiben. Du mußt nicht für den Nutzer denken. Er sollte die Wahl haben. Und nicht eine Lösung präsentiert bekommen die er u.U. nocht haben möchte. Wir sind doch nicht bei M$! Hier lesen Leute noch Fehlermeldungen. > - Mit einigen Brennern geht ohne root-Rechte gar nichts. > Kann es sein, dass diese Brenner *echte* SCSI Brenner sind? Aber Linux ist nun 'mal hauptsächlich auf Systemen im Einsatz wo IDE Brenner drinstecken. Da muss man ja die Ausnahme nicht zur Regel machen. > Leute wie Bloch und Preining, denen die Grundkenntnisse zu SCSI, CD/DVD Brennen > und dem Rechtesystem von Linux fehlen können da nochso schimpfen, sie ändern > damit die Regeln unter Linux nicht. > Jörg, bremsen! Beleidigungen helfen Deiner Position nicht. Vorallem nicht auf einer Liste wo viele Unbeteiligte mitlesen. Und sie haben durchaus Ahnung von den Themen, nur versuchen sie mit den unbestrittenen Defiziten auf eine andere Weise umzugehen. Und ich kenne noch Deinen Hinweis in cdrecord, dass man eigentlich nur Müll über die ATA Schnittstelle in neuen Kerneln produzieren tut. Deine eigene Software hat Dich Lügen gestraft. Ich glaube, dass Du die ATA Schnittstelle einfach nicht magst und das ist Dein gutes Recht. Nur ich kann und will mir keine SCSI Geräte leisten. Aber es ist auch kein Grund eine Software *prinzipiell* nur als root laufen zu lassen, weil vielleicht in der Serverfarm in Timbuktu ein Brenner installiert ist, der nur als root betrieben werden kann. Ich habe diesen Brenner nicht, also kann cdrecord bei mir als non-root laufen. Wenn das strukturell im Programm nicht anders zu regeln ist, dann hast Du ein Architekturproblem. SEB@STI@N -- " Religion ist das Opium des Volkes. " Karl Marx SEB@STI@N GÜNTHER mailto:samson@pool.informatik.rwth-aachen.de
Attachment:
pgpG044qztgis.pgp
Description: PGP signature