Re: Changement dynamique des permissions des devices
Sebastien Chaumat <schaumat@ens-lyon.fr> writes:
> > > #
> > > # Use with caution - it is possible for users to gain permanent
> > > # access to these groups, even when not logged in on the console.
> > > # How to do it is left as an exercise for the reader...
> > > #
> > > #CONSOLE_GROUPS floppy:audio:cdrom
>
> C'est carement expliquer dans la doc de PAM (eh oui en patatois fini les
> ces options de login.def)
Tout à fait. Et il semble bien que j'avais trouvé la bone solution :-)
>
>
> > La solution retenue par la RedHat n'est-elle pas plus sûre ? A savoir
> > transférer la propriété du périphérique à l'utilisateur qui est
> > connecté sur le poste local (mis à part le fait que ce mécanisme
> > semble être activé par défaut, ce qui n'est pas nécessairement une
> > bonne chose).
>
> C'est la solution de Solaris et a mon humble avis bien meilleure que
> celle de Debian.
En fait, c'est une méthode assez classique sur la plupart des Unix
en ce qui concerne les (pseudo-)terminaux.
>
> Question : s'est un rpm qui fait le boulot ou bien il y a un patch
> quelque part?
J'ai regardé de plus près. En fait c'est également dans pam. Sur la
RH, il y a un répertoire /etc/security, dans lequel se trouve
plusieurs fichiers de pam.
L'un d'entre eux, group.conf fournit un mécanisme semblable à celui
décrit initialement, à savoir inclure temporairement l'utilisateur
connecté dans le groupe floppy (par ex.). Il est commenté par défaut.
L'autre, console.perms, définit ce qu'il faut comprendre comme
utilisateur local (connecté sur un /dev/tty[0:9] ou sur un display
:[0:9]) et contient une liste de périphériques qui doivent être
transférés au premier utilisateur se connectant en local, ainsi que
les permissions à rétablir à la déconnexion.
Utilisant RH depuis 4 ans (j'ai commencé sur la RH2.1, qui à l'époque
était la seule gérant les paquetages, la Debian de l'époque étant
encore en phase pré-stable), je ne connais pas la Debian (je me suis
inscrit sur la liste pour en savoir plus et éventuellement faire la
transition d'ici quelque temps). J'imagine toutefois qu'il doit y
avoir moyen de configurer PAM de manière identique.
Marc
P.S. Si ça intéresse des gens, je peux poster le contenu de
/etc/security/console.perms (1500 octets) de la RH, mais il est
probable que ce soit juste à activer sur la Debian.
Reply to: