Re: ntfs-3g и монтирование непривилегированным пользователем
Artem Chuprina <ran@ran.pp.ru> writes:
> А они точно ограничены? Или они все-таки могут позвать, скажем,
>
> ntfs-3g -o какие,угодно,опции /dev/sdc1 /usr
>
> при такой настройке? А то suid я вижу, а упоминаний про /etc/fstab в
> man ntfs-3g - нет, и с какого перепугу он не сможет выполнить эту
> команду, я не очень понимаю...
Конкретно данную операцию - не сможет. ntfs-3g в качестве точки
монтирования допускает только каталоги, в которые юзер имеет права
записи.
--------------------
$ ntfs-3g /dev/sdc1 /usr
ntfs-3g-mount: user has no write access to mountpoint /usr
--------------------
Более того, она должна принадлежать юзеру, или хотя бы он должен
состоять в группе, имеющей право записи в директорию. Если бит записи
есть у всех - примонтировать не удастся.
--------------------
$ ntfs-3g /dev/sdc1 /tmp
ntfs-3g-mount: mountpoint /tmp not owned by user
--------------------
Мне кажется, разработчики хорошо продумали подобные ситуации.
Кстати, подобная ситуация и у pmount, если не ошибаюсь. Она
предоставляет список устройств, которые имеют право монтировать члены
группы plugdev, однако ж ее за suid-бит Вы не ругаете. Или ругаете?
> Dmitrii Kashin -> debian-russian@lists.debian.org @ Mon, 10 Sep 2012 15:22:00 +0400:
>
> DK> Однако и в случае с suid-битом, и в случае c sudo, ntfs-3g работает с
> DK> правами root. Так в чем же разница? Почему sudo как решение проблемы
> DK> по-вашему лучше, чем suid?
>
> А sudo позволяет сказать, что Васе можно выполнить mount /mnt/flash,
> который сводится к ntfs-3g /dev/sdc1 /mnt/flash но нельзя выполнить
> ntfs-3g - /dev/sdc1 /usr. В смысле, я точно уверен, что позволяет.
Да, sudo обеспечивает это наверняка. Впрочем, рассуждая таким образом,
я, наверное, должен создать в sudoers список из программ, имеющих
suid-бит и предусмотреть все случаи их использования пользователем,
разрешив ему запускать их _исключительно_ с заданными мной параметрами.
Мне кажется, это будет несколько абсудрно.
> Ну и да, про отъем этих прав обратно в параллельном письме тоже верно
> замечено. На выдачу прав это тоже распространяется, кстати - невозможно
> сказать пользователю посреди его сеанса "я тебе дал права, можешь
> работать". Сеанс придется закрывать, либо обучать пользователя
> ухищрениям вида ssh localhost или (все тот же самый) sudo -u user.
Да, это дело, пожалуй. Но вообще, странно слышать, что это минус. Ведь
на этом принципе построены права доступа ко всему в системе вообще, и
предполагается, что Вы делегируете/отбираете права не так часто и резво.
--- Писал письмо во время обеда. Мог быть не точен, ибо спешил.
--
**************************************
* jabber: freehck@jabber.mipt.ru *
* Registered linux user #546240 *
**************************************
Reply to: