[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: cdrecord und kernel 2.6.8.1



On 2004-08-16 Sven Hartge <lists@ds9.gnuu.de> wrote:
> Andreas Metzler <ametzler@logic.univie.ac.at> wrote:
> > On Mon, Aug 16, 2004 at 04:27:51PM +0200, Christoph Wegscheider wrote:

> >> Hier nochmal fuer die Liste:
> >> http://marc.theaimsgroup.com/?l=linux-kernel&m=109265946604538&w=2

> >> # Due to the newly added command filtering, you now need to run cdrecord
> >> # as root. Since cdrecord will drop root privileges before accessing the
> >> # drive, setuid root won't help.  
>             °°°°°°°°°°°°°°°°°°°°°°°

> >> Der wuerde wohl dann darin bestehen das cdrecord die root Rechte
> >> behaelt und standardmaeszig mit setuid root laeuft? Nicht schoen,
> >> nicht geeignet fuer sarge? 

> > So weit ich das verstehe wird SUID root ein Muss, ja.

> So wie ich das lese, reicht nur SUID _nicht_ mehr aus, weil cdrecord die
> Privilegien wegwirft, bevor es auf das Device zugreift.

Eben darum folgt "ausserdem ...". ;-) Denn ...

> > Ausserdem muss cdrecord zumindest CAP_SYS_RAWIO behalten.

... damit man CAP_SYS_RAWIO ueberhaupt hat und behalten kann, sind
afaik superuser Privilegien noetig. - Oder haben wir inzwischen
filesystem capabilities, das Analogon zum SUID bit fuer capabilities,
im vanilla Kernel?

> Es müßte wohl reichen, wenn es wie bisher die Rechte wegwirft, aber eben
> jenes beibehält. Was für Lücken das dann wieder aufreisst, weiss wohl
> bisher niemand.

Genau, die Diskussion auf lkml ist work in progress.
                cu andreas
-- 
"See, I told you they'd listen to Reason," [SPOILER] Svfurlr fnlf,
fuhggvat qbja gur juveyvat tha.
Neal Stephenson in "Snow Crash"



Reply to: