форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"PopTop на OpenBSD запуск без рута"

Сообщение от VV (??) on 07-Янв-09, 17:48

Собственно, есть работующий, от рута, PopTop v1.3.0 на OpenBSD 4.4. Хотелось бы, запускать pptpd от пользователя vasja. Пользователь vasja являеться членом группы network и имеет все права на /etc/pptpd.conf и в /etc/ppp/* При попытке заустить /usr/local/sbin/pptpd -d pptpd не запускается и в /var/log/message есть только одна ошибка: PPTPD: failed to allow GRE, errno=1 Спасибо за любую полезную информацию.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "PopTop на OpenBSD запуск без рута"

Сообщение от Vaso Petrovich on 08-Янв-09, 01:48

http://www.google.ru/search?hl=ru&q=failed+to+allow+GRE+... проще не куда...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "PopTop на OpenBSD запуск без рута"
	Сообщение от VV (??) on 08-Янв-09, 11:24
	>http://www.google.ru/search?hl=ru&q=failed+to+allow+GRE+... > >проще не куда... Естественно, перед тем как сюда написать я 2 дня искал ответ с помощью поисковика, но так и не нашёл. Если вы видели его, на каком либо сайте, то пожалуйста, будьте так любезны скиньте прямую ссылку.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "PopTop на OpenBSD запуск без рута"

Сообщение от angra (ok) on 08-Янв-09, 13:24

Не знаком с OpenBSD, могу дать только совет общего плана - поставьте suid на pptpd и разрешите выполнение только для рута и группы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "PopTop на OpenBSD запуск без рута"
	Сообщение от VV (??) on 08-Янв-09, 14:58
	>Не знаком с OpenBSD, могу дать только совет общего плана - поставьте >suid на pptpd и разрешите выполнение только для рута и группы. > Но тогда он будет запускаться от имени рута, а мне важно что бы просесс запускался от не привилегированного пользователя. С рутом и так всё работает, но меня смущяет, что в инет смотрит демон с правами рута.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "PopTop на OpenBSD запуск без рута"
	Сообщение от Andrey Mitrofanov on 08-Янв-09, 15:04
	>Но тогда он будет запускаться от имени рута, а мне важно что >бы просесс запускался от не привилегированного пользователя. С рутом и так suid и root, группу - пользователя в группу. _запускаться_ будет с-под пользователя и работать с правами рута. >всё работает, но меня смущяет, что в инет смотрит демон с правами рута. Пусть смотрит в дугую сторону? :))
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "PopTop на OpenBSD запуск без рута"

Сообщение от VV (??) on 08-Янв-09, 15:35

>Собственно, есть работующий, от рута, PopTop v1.3.0 на OpenBSD 4.4. Хотелось бы, >запускать pptpd от пользователя vasja. Пользователь vasja являеться членом группы network >и имеет все права на /etc/pptpd.conf и в /etc/ppp/* >При попытке заустить /usr/local/sbin/pptpd -d pptpd не запускается и в /var/log/message есть >только одна ошибка: >PPTPD: failed to allow GRE, errno=1 > >Спасибо за любую полезную информацию. Надо что бы pptpd не просто запускался от пользователя vasja но и работал с его привилегиями. К примеру, apache же мы запускаем от специального пользователя и работает он без рутовых прав.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "PopTop на OpenBSD запуск без рута"
	Сообщение от angra (ok) on 09-Янв-09, 15:36
	Вообще-то апач запускается от рута и главный процесс продолжает работу с рутовыми привилегиями. А вот потомки, которые занимаются непосредственной обработкой соединений, самостоятельно сбрасывают рутовые привилегии, меняя uid на нужный. Подобная функциональность присуща ряду других программ, а вот есть ли она у poptop не знаю, смотрите ман. Используя trustedBSD или selinux скорее всего можно получить то, что вы хотите, но ЕМНИП в опенке аналогов этому нет.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "PopTop на OpenBSD запуск без рута"
	Сообщение от VV (??) on 12-Янв-09, 11:26
	>Вообще-то апач запускается от рута и главный процесс продолжает работу с рутовыми >привилегиями. А вот потомки, которые занимаются непосредственной обработкой соединений, самостоятельно сбрасывают >рутовые привилегии, меняя uid на нужный. Подобная функциональность присуща ряду других >программ, а вот есть ли она у poptop не знаю, смотрите >ман. >Используя trustedBSD или selinux скорее всего можно получить то, что вы хотите, >но ЕМНИП в опенке аналогов этому нет. Простите за оффтоп, но как называется главный процесс? На OpenBSD 4.4 apachectl запускаеться от рута, но процессы httpd parent и child работают от пользователя www
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "PopTop на OpenBSD запуск без рута"
	Сообщение от angra (ok) on 12-Янв-09, 14:23
	Пример: root      2923  0.0  0.1  13444  2780 ?        Ss   12:51   0:00 /usr/sbin/apache2 -k start www-data  2924  0.0  0.0  13216  2012 ?        S    12:51   0:00 /usr/sbin/apache2 -k start www-data  2932  0.0  0.1 234788  2648 ?        Sl   12:51   0:00 /usr/sbin/apache2 -k start www-data  2934  0.0  0.1 234788  2652 ?        Sl   12:51   0:00 /usr/sbin/apache2 -k start tcp6       0      0 :::80                   :::*                    LISTEN      2923/apache2 ЕМНИП в опенке все еще пользуют 1.3, причем сильно пропатченный, так что возможно там и слушающий процесс сбрасывает привилегии. Но в любом случае изначальный запуск производится из под рута, хотя бы для того, чтобы забиндить порты ниже 1024
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]