URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4721
[ Назад ]

Исходное сообщение
"setegid"
Отправлено tux2002 , 23-Окт-10 13:49

Я пользуюсь ОС Linux Slackware. У меня возник вопрос - почему пользователь самостоятельно не может менять эффективную группу на любую из тех, в которые входит, не использую setuid команды, то есть не через root. Я знаю о cap_set_gid - но эта возможность менять эффективную группу вообще на любую системную. В man setegid вообще о необходимых привелегиях почти ничего не сказано. Sg - setuid программа, и запускает ещё одну оболочку с нужной эффективной группой. Мне интересно почему нельзя сменить группу в текущей оболочке, с чем связано такое поведение системы? Где об этом можно почитать?
Спасибо.

Содержание

setegid,Aquarius, 12:42 , 24-Окт-10
- setegid,tux2002, 16:38 , 24-Окт-10
  - setegid,Aquarius, 15:11 , 25-Окт-10

Сообщения в этом обсуждении

"setegid"
Отправлено Aquarius , 24-Окт-10 12:42

> Я пользуюсь ОС Linux Slackware. У меня возник вопрос - почему пользователь
> самостоятельно не может менять эффективную группу на любую из тех, в
> которые входит, не использую setuid команды, то есть не через root.
> Я знаю о cap_set_gid - но эта возможность менять эффективную группу
> вообще на любую системную. В man setegid вообще о необходимых привелегиях
> почти ничего не сказано. Sg - setuid программа, и запускает ещё
> одну оболочку с нужной эффективной группой. Мне интересно почему нельзя сменить
> группу в текущей оболочке, с чем связано такое поведение системы? Где
> об этом можно почитать?
> Спасибо.
видимо потому, что это был бы способ обойти ограничения доступа
представьте каталог с доступом 705, у которого доступ для группы полностью закрыт, а тут вуаля, меняем gid, и он доступен

"setegid"
Отправлено tux2002 , 24-Окт-10 16:38

> видимо потому, что это был бы способ обойти ограничения доступа
> представьте каталог с доступом 705, у которого доступ для группы полностью закрыт,
> а тут вуаля, меняем gid, и он доступен
Дак sg тоже позволит сменить группу и зайти в каталог, только с участием root. А почему нельзя пользователю это делать самостоятельно. set-uid root на newgrp мне ещё понятно, для добавления группы в список групп процесса это видимо нужно. Но substitute group (sg) это сиволическая ссылка на newgrp, а для sg мне это непонятно.

"setegid"
Отправлено Aquarius , 25-Окт-10 15:11

>> видимо потому, что это был бы способ обойти ограничения доступа
>> представьте каталог с доступом 705, у которого доступ для группы полностью закрыт,
>> а тут вуаля, меняем gid, и он доступен
> Дак sg тоже позволит сменить группу и зайти в каталог, только с
> участием root. А почему нельзя пользователю это делать самостоятельно. set-uid root
> на newgrp мне ещё понятно, для добавления группы в список групп
> процесса это видимо нужно. Но substitute group (sg) это сиволическая ссылка
> на newgrp, а для sg мне это непонятно.
видимо потому, что это был бы способ обойти ограничения доступа
представьте каталог с доступом 705, у которого доступ для группы полностью закрыт, а тут вуаля, меняем gid, и он доступен
может соизволите понять то, что я написал?