next up previous
Next: Атрибуты AUTH Up: Authentification Module (AUTH) Previous: Authentification Module (AUTH)

Основы

Этот модуль может быть рассмотрен как модуль поддержки для всех остальных модулей. Он ограничивает смену владельца для процессов (CHANGE_OWNER) на объектах процессов (setuid): запрос разрешен только если процесс имеет установленный флаг auth_may_setuid или в его наборе способностей находится целевой ID пользователя. Флаг auth_may_setuid и набор способностей наследуются при выполнении от программного файла.

Другими словами: Ни для какого процесса выполняющего любую программу не может быть разрешен setuid() вариант системного вызова, пока процесс (например наследованный от программного файла) имеет установленный флаг auth_may_setuid или возможность AUTH для целевого uid.

Возможности программных файлов могут быть установлены, если всем модулям разрешен запрос MODIFY_ATTRIBUTE для A_auth_add_f_cap или A_auth_remove_f_cap. Возможности процесса могут быть добавлены только другими процессами, которые имеет установленный флаг auth_may_set_cap, который также унаследован от их выполненного файла.

Таким образом возможно осуществление процесса аутентификации базирующееся на демоне, также как ограничение системных демонов набором пользовательских ID.

ПРЕДУПРЕЖДЕНИЕ: Если позволяется иметь без программы логина auth_may_setuid или набор возможностей и без серверного процесса устанавливающего возможности, то вы не сможете войти в систему! Используйте параметр ядра rsbac_auth_enable_login в критических случаях или при первой загрузке установите auth_may_setuid для /bin/login.

При задействованном AUTH, таким системным демонам, с setuid нормальной пользовательской учетной записи, как portmap, mysql или что нибудь еще, требуется явная возможность так делать. И они должны использовать только те uid которые вы разрешите.


next up previous
Next: Атрибуты AUTH Up: Authentification Module (AUTH) Previous: Authentification Module (AUTH)