Re: Permissions für Console-User anpassen?

To: debian-user-de@jfl.de
Subject: Re: Permissions für Console-User anpassen?
From: Andreas Metzler <ametzler@downhill.at.eu.org>
Date: Tue, 02 Oct 2001 18:46:25 +0200
Message-id: <[🔎] E15oSgb-0000Qp-00@downhill.at.eu.org>
References: <[🔎] 20011002125619.D4399@lava.cs.tu-berlin.de> <[🔎] E15oNlL-0006Nx-00@downhill.at.eu.org> <[🔎] 20011002152853.E20000@wh9155.stw.uni-rostock.de>

Daniel Bayer <daniel.bayer@stud.uni-rostock.de> wrote:
> On Tue, Oct 02, 2001 at 01:30:59PM +0200, Andreas Metzler wrote:
> [Gruppenzugehörigkeit in Abhängikeit lokal/remote eingeloggt]
>> RedHat loest das mit einem eigenen pam-modul, iirc pam_console, das
>> laesst sich sicher auch auf Debian compilieren, es hat aber zwei

> Bei Debian gibt es pam_group. Das Modul macht auch sowas.

Nett, das gefaellt mir besser. pam_console schenkt zB /dev/dsp dem
entsprechenden User (chown user:user /dev/dsp ; chmod 0600 /dev/dsp),
bis er sich wieder ausloggt.

>> -Es ist (laut hoerensagen) eine sicherheitstechnische Katastrophe, auf
>>  debian-devel findet sich irgendwo eine Diskussion kompetenter Leute
>>  dazu (google).

> Oder einfach einen Blick in die Konfigurationsdatei werfen
> (/etc/security/group.conf). Eventuell hilft es ja, wenn man sämtliche
> Partitionen auf denen die Nutzer Schreibrechte haben mit der Option
> noexec mountet. Aber so ein System ist dann ja nicht mehr benutzbar :-)

Nein warum, Schreibrechte braucht er nur in /tmp/ und /home, exec aber
an beiden Orten nicht.  nosuid reicht ausserdem schon, die
Dokumentation liegt in /usr/share/doc/libpam-doc/txt/pam.txt.gz

Der zusaetzliche Schutz von noexec gegenueber nosuid ist mE nicht
vorhanden:
/dev/ide/host0/bus0/target0/lun0/part6 on /mnt/dateins type ext2 (rw,noexec)

*ichh@hier>* /mnt/dateins/tmp/id -u
bash: /mnt/dateins/tmp/id: Permission denied
*ichh@hier>* /lib/ld-linux.so.2 /mnt/dateins/tmp/id -u
 1001

           cu andreas
-- 
Hey, da ist ein Ballonautomat auf der Toilette!
Carnivore: sex violence tower XXX Boom human rights Islam Kate Winslow
vim:ls=2:stl=***\ Sing\ a\ song.\ ***


--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

942 eingetragene Mitglieder in dieser Liste.

Reply to:

Follow-Ups:
- Re: Permissions für Console-User anpassen?
  - From: Jens Benecke <jens@jensbenecke.de>
- Re: Permissions für Console-User anpassen?
  - From: Daniel Bayer <daniel.bayer@stud.uni-rostock.de>

References:
- [Debian] Permissions für Console-User anpassen?
  - From: Rene Tschirley <pooh@lava.cs.tu-berlin.de>
- Re: Permissions für Console-User anpassen?
  - From: Andreas Metzler <ametzler@downhill.at.eu.org>
- Re: Permissions für Console-User anpassen?
  - From: Daniel Bayer <daniel.bayer@stud.uni-rostock.de>

Prev by Date: Re: [Debian] Debian GNU/Linux 3.0 - UneingeschränkteVorab-Vollversion
Next by Date: Re: mime type herausfinden
Previous by thread: Re: Permissions für Console-User anpassen?
Next by thread: Re: Permissions für Console-User anpassen?
Index(es):
- Date
- Thread