Re: Passwd i chrootowane środowisko.
On Mon, Nov 22, 2004 at 04:13:33PM +0100, Mikołaj Menke wrote:
> Chodziło mi o to, żeby użytkownik mógł zmienić hasło, ale żeby
> przypadkiem nie dało się w związku z tym wyjść poza chroot w jakikolwiek
> sposób.
W takim razie "gadanie" z czymkolwiek na zewnątrz (np. z kerberosem) też
jest pewnym ryzykiem, bo to coś na zewnątrz będzie poza chrootem, i jest
szansa, że uda się to coś namówić do zrobienia czegoś niemiłego na
podobnej zasadzie, jak może się udać namówienie do tego /usr/bin/passwd
Ale wpadłem na takiego pomysła... można by spróbować:
adduser shadow
chown shadow /etc/passwd /etc/shadow
chown shadow /usr/bin/shadow
chmod u+s /usr/bin/shadow
Tylko ewentualnie trzeba by połatać PAM, jeśli przypadkiem sprawdza czy
passwd działa jako root, albo czy pliki należą do roota.
Inna sprawa, że nie wiem jaki to ma wpływ na bezpieczeństwo samego
procesu zmiany hasła. Z tego co pamiętam, to passwd jako root trochę
czaruje (jakieś blokady itp) zanim się zabierze za modyfikację pliku.
Marcin
--
Marcin Owsiany <porridge@debian.org> http://marcin.owsiany.pl/
GnuPG: 1024D/60F41216 FE67 DA2D 0ACA FC5E 3F75 D6F6 3A0D 8AA0 60F4 1216
Reply to: