[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:15160] Re: suid root (Re: rxvt-xterm and krxvt)

From: Taketoshi Sano <xlj06203@xxxxxxxxxxx>
Subject: [debian-users:15160] Re: suid root (Re: rxvt-xterm and krxvt)
Date: Tue, 4 May 1999 00:21:42 +0900
X-dispatcher: imput version 980905(IM100)
X-fingerprint: DA 00 13 8C 49 BB 60 BE A4 54 3D AF 2E CE 28 DD
X-ml-info: If you have a question, send a mail with the body "# help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 2.2]; post only (only members can post)
References: <199905011141.UAA08702@xxxxxxxxxxxxxxxxxxxxxx>
Message-id: <y5a676a72zt.fsf@xxxxxxxxxxxxxxxxxxxx>
X-mail-count: 15160
User-agent: Semi-gnus/6.8.19 SEMI/1.10.1 (Morimoto) FLIM/1.11.3 (Saidaiji) Emacs/20.3 (i386-debian-linux-gnu) MULE/4.0 (HANANOEN)

佐野＠浜松です。おひさしぶりですね。

In article <199905011141.UAA08702@xxxxxxxxxxxxxxxxxxxxxx>
 "Ken N." <kenn@xxxxxxxxxxxxxxxxx> さん writes:

> Linux って、grantpt(2)を持っていないんでしたっけ。
> あるのならこれを使えば済む話なんですが... ないらしい。

たしかに、このあたりの (仮想) 端末へのアクセス許可/不許可は
個々のアプリケーションでそれぞれ扱うより、カーネルで一括して
扱ったほうが、セキュリティ的にはずっと良いとは思いました。

他の OS には grantpt(2) というのがあるのですか。なるほど。

そういえば "The Open Group's Unix98 standard" への対応、というのが
 Linux カーネル 2.2.x 系と glibc 2.1 系に入ったらしいのですが、
これを使うことによっても、似たような機能が実現できそうな雰囲気です。

# Linux 2.2.5 の Configure.help には
# 
# /dev/pts filesystem for Unix98 PTYs
# CONFIG_DEVPTS_FS
#   You should say Y here if you said Y to "Unix98 PTY support" above.
#   You'll then get a virtual filesystem which can be mounted on
#   /dev/pts with "mount -t devpts". This, together with the pseudo
#   terminal master multiplexer /dev/ptmx, is used for pseudo terminal
#   support as described in The Open Group's Unix98 standard: in order
#   to acquire a pseudo terminal, a process opens /dev/ptmx; the number
#   of the pseudo terminal is then made available to the process and the
#   pseudo terminal slave can be accessed as /dev/pts/<number>. What was
#   traditionally /dev/ttyp2 will then be /dev/pts/2, for example. 
# 
#   The GNU C library glibc 2.1 contains the requisite support for this
#   mode of operation; you also need client programs that use the Unix98
#   API.
# 
# とあります。

> いずれにせよ、セキュリティ維持/向上 のためにsetuidするというの
> も変な話なので、

これはそのとおりですね。xterm にしょっちゅうセキュリティパッチが
出ているのも、suid root だから影響が大きいという理由がありそう。

# いろんな OS に対応させる必要があるので、ある程度は必要悪という
# 話なのかもしれませんが (> xterm) 

> ＃/etc/init.d/boot で、
>     chmod 666 /dev/tty[p-za-e][0-9a-f]
> 　を
>     chmod 600 /dev/tty[p-za-e][0-9a-f]
> 　とかにしてみればわかります。

 Ken N さんは bo をお使いなんですね。hamm 以降では /etc/init.d/bootmisc.sh
の中でこの処理をしています。/etc/inittab で /etc/init.d/rcS が呼ばれて、
これが /etc/rcS.d/ 以下を順番に実行しているのですが、ここに S55bootmisc.sh
として /etc/init.d/bootmisc.sh がリンクされています。

-- 
     ＃わたしのおうちは浜松市、今日から街はお祭ワッショイ。
    <xlj06203@xxxxxxxxxxx> : Taketoshi Sano (佐野　武俊)

Follow-Ups:
- [debian-users:15347] Re: suid root (Re: rxvt-xterm and krxvt)
  - From: Taketoshi Sano

References:
- [debian-users:15124] Re: suid root (Re: rxvt-xterm and krxvt)
  - From: Ken N.

Prev by Date: [debian-users:15159] Re: userlink
Next by Date: [debian-users:15161] Re: cracklib issue report
Previous by thread: [debian-users:15124] Re: suid root (Re: rxvt-xterm and krxvt)
Next by thread: [debian-users:15347] Re: suid root (Re: rxvt-xterm and krxvt)
Index(es):
- Date
- Thread