Re: ntfs-3g и монтирование непривилегированным пользователем
>>>>> Dmitrii Kashin <freehck@gmail.com> writes:
>>>>> Artem Chuprina <ran@ran.pp.ru> writes:
[…]
>> И я, в отличие от авторов ntfs-3g, не считаю suid правильным
>> подходом по вышеотквоченной причине, которую, если надо, могу
>> расписать подробнее.
> Я, пожалуй, попрошу Вас объяснить подробнее. В чем принципиальное
> отличие делегирования прав процессу ntfs-3g через suid-бит и через sudo?
> Вот как, например, это работает у меня сейчас:
[…]
> Таким образом, монтировать ntfs-3g имеют право только пользователи
> группы fuse. А монтировать они, разумеется, имеют право только те
> устройства, на которые они обладают правом записи.
> То есть у меня, равно, как и в случае с sudo, правом монтирования
> обладает группа пользователей, которым такая возможность была
> предоставлена администратором.
… С другой стороны, правка sudoers(5) мгновенно лишает
пользователя возможности выполнять монтирование ФС, в то время
как groups(5) читается только в начале пользовательского сеанса
и, следовательно, изменения оного станут актуальными лишь после
завершения пользовательских процессов (потенциально — всех) и
повторного «входа в систему.» (При том дополнительном условии,
что у пользователя не сохранилось собственных исполнимых файлов
с SGID-битом.)
Ввиду вышесказанного, использование groups(5) для управления
правами пользователей (при наличии sudo(8)) не кажется мне сколь
угодно удачной идеей.
[…]
PS. Похожая проблема существует и с «групповыми квотами.»
--
FSF associate member #7257 http://sfd.am-1.org/
Reply to: