[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: ntfs-3g и монтирование непривилегированным пользователем

Artem Chuprina <ran@ran.pp.ru> writes:

> А они точно ограничены?  Или они все-таки могут позвать, скажем,
>
> ntfs-3g -o какие,угодно,опции /dev/sdc1 /usr
>
> при такой настройке?  А то suid я вижу, а упоминаний про /etc/fstab в
> man ntfs-3g - нет, и с какого перепугу он не сможет выполнить эту
> команду, я не очень понимаю...

Конкретно данную операцию - не сможет. ntfs-3g в качестве точки
монтирования допускает только каталоги, в которые юзер имеет права
записи.

--------------------
$ ntfs-3g /dev/sdc1 /usr
ntfs-3g-mount: user has no write access to mountpoint /usr
--------------------

Более того, она должна принадлежать юзеру, или хотя бы он должен
состоять в группе, имеющей право записи в директорию. Если бит записи
есть у всех - примонтировать не удастся.

--------------------
$ ntfs-3g /dev/sdc1 /tmp
ntfs-3g-mount: mountpoint /tmp not owned by user
--------------------

Мне кажется, разработчики хорошо продумали подобные ситуации.

Кстати, подобная ситуация и у pmount, если не ошибаюсь. Она
предоставляет список устройств, которые имеют право монтировать члены
группы plugdev, однако ж ее за suid-бит Вы не ругаете. Или ругаете?

> Dmitrii Kashin -> debian-russian@lists.debian.org  @ Mon, 10 Sep 2012 15:22:00 +0400:
>
>  DK> Однако и в случае с suid-битом, и в случае c sudo, ntfs-3g работает с
>  DK> правами root. Так в чем же разница? Почему sudo как решение проблемы
>  DK> по-вашему лучше, чем suid?
>
> А sudo позволяет сказать, что Васе можно выполнить mount /mnt/flash,
> который сводится к ntfs-3g /dev/sdc1 /mnt/flash но нельзя выполнить
> ntfs-3g - /dev/sdc1 /usr.  В смысле, я точно уверен, что позволяет.

Да, sudo обеспечивает это наверняка. Впрочем, рассуждая таким образом,
я, наверное, должен создать в sudoers список из программ, имеющих
suid-бит и предусмотреть все случаи их использования пользователем,
разрешив ему запускать их _исключительно_ с заданными мной параметрами.

Мне кажется, это будет несколько абсудрно.

> Ну и да, про отъем этих прав обратно в параллельном письме тоже верно
> замечено.  На выдачу прав это тоже распространяется, кстати - невозможно
> сказать пользователю посреди его сеанса "я тебе дал права, можешь
> работать".  Сеанс придется закрывать, либо обучать пользователя
> ухищрениям вида ssh localhost или (все тот же самый) sudo -u user.

Да, это дело, пожалуй. Но вообще, странно слышать, что это минус. Ведь
на этом принципе построены права доступа ко всему в системе вообще, и
предполагается, что Вы делегируете/отбираете права не так часто и резво.

--- Писал письмо во время обеда. Мог быть не точен, ибо спешил.

-- 
**************************************
*  jabber:  freehck@jabber.mipt.ru   *
*   Registered linux user #546240    *
**************************************
Reply to: