SUID bit

[Nestor]

Тогда я не могу уловить смысла Вашего предыдущего поста

Имелся ведь в виду процесс, а не файл.

По моему там чётко написано: "то будет поменян идентификатор пользователя на UID владельца файла..."

2 dr.Faust

Предлагаете это делать после каждого запуска F-spot?

На хрена после каждого!? Достаточно одной таблэтки

А чего - всего 6000 файлов обработать - нормально.

Нормально, за Вас это сделает опция  -R

Вобщем костылей можно придумать ещё массу

Почему костыль? Вполне стандартная операция

[dr.Faust]

Попробуйте - одной таблетки не достаточно...
И опция -R помогла бы, если бы было достаточно, а так нет - это отнимает время а делать это нужно всякий раз, когда добавлены новые фото.
Да, SGID не поможет - не надейтесь...

[Mam(O)n]

По моему там чётко написано: "то будет поменян идентификатор пользователя на UID владельца файла..."

Тебе в третий раз объяснять, что я имел виду процесс или ещё подискутируем?

[Nestor]

Попробуйте - одной таблетки не достаточно...
И опция -R помогла бы, если бы было достаточно, а так нет - это отнимает время а делать это нужно всякий раз, когда добавлены новые фото.
Да, SGID не поможет - не надейтесь...

Каждое вновь созданное фото (файл) будет "автоматически" принадлежать той же группе, что и ваши пользователи, так что ничего делать не придётся, для
этого и устанавливается признак sgid
Пользователь решил продолжить мысль [time]Mon Aug  2 19:39:30 2010[/time]:

По моему там чётко написано: "то будет поменян идентификатор пользователя на UID владельца файла..."

Тебе в третий раз объяснять, что я имел виду процесс или ещё подискутируем?

Извини телепатией не обладаю, что ты там имел в виду не догадался (про скрипт тоже имел в виду ? ), в следующий раз пиши яснее

[dr.Faust]

Каждое вновь созданное фото (файл) будет "автоматически" принадлежать той же группе, что и ваши пользователи, так что ничего делать не придётся, для
этого и устанавливается признак sgid

Допускаю, что вы знаете как работает, sgid но тогда вы не знаете ка работает f-spot.
Пробема в том, что файлы созданные в папке Снимки и всех папказ в ней на момент применения свойств, действительно получат нужную группу, но этого решения вам хватит ровно на сутки.
На следующий день при экспорте фото f-spot создаст новую директорию (он создаёт директорию на каждую новую дату изображений ). Папка унаследует группу, как и файл, но не бит SGID. Что из этого вытекает объяснять нужно?
А ведь между тем суидный бит на папке бессмысленен. Ну наделите его функцией наследования всех адрибутов папки и всё - получим классное решение но нет... у нас и так всёхорошо, оказывается.

[Mam(O)n]

(про скрипт тоже имел в виду ? ), в следующий раз пиши яснее

Ок; А про скрипт, что имею то и

Код: [Выделить]

mamon@mamon-desktop:~$ ls suidscript -la
-rwsr-xr-x 1 root root 21 2010-08-02 20:04 suidscript
mamon@mamon-desktop:~$ cat suidscript
#!/bin/bash
echo $EUID
mamon@mamon-desktop:~$ ./suidscript
1000

в то же время с бинарником:

Код: [Выделить]

mamon@mamon-desktop:~$ cat suidbin.c
#include <stdio.h>
#include <sys/types.h>

int
main()
{
printf ("%d\n", geteuid());
return 0;
}
mamon@mamon-desktop:~$ gcc -o suidbin suidbin.c
mamon@mamon-desktop:~$ ls -la suidbin
-rwxr-xr-x 1 mamon mamon 7182 2010-08-02 20:15 suidbin
mamon@mamon-desktop:~$ ./suidbin
1000
mamon@mamon-desktop:~$ sudo chown root:root suidbin
mamon@mamon-desktop:~$ sudo chmod +s suidbin
mamon@mamon-desktop:~$ ls -la suidbin
-rwsr-sr-x 1 root root 7182 2010-08-02 20:15 suidbin
mamon@mamon-desktop:~$ ./suidbin
0



[Nestor]

Каждое вновь созданное фото (файл) будет "автоматически" принадлежать той же группе, что и ваши пользователи, так что ничего делать не придётся, для
этого и устанавливается признак sgid

Допускаю, что вы знаете как работает, sgid но тогда вы не знаете ка работает f-spot.
Пробема в том, что файлы созданные в папке Снимки и всех папказ в ней на момент применения свойств, действительно получат нужную группу, но этого решения вам хватит ровно на сутки.
На следующий день при экспорте фото f-spot создаст новую директорию (он создаёт директорию на каждую новую дату изображений ). Папка унаследует группу, как и файл, но не бит SGID. Что из этого вытекает объяснять нужно?
А ведь между тем суидный бит на папке бессмысленен. Ну наделите его функцией наследования всех адрибутов папки и всё - получим классное решение но нет... у нас и так всёхорошо, оказывается.

Кажется задача была в том чтобы пользователи могли работать со своими фото и с фото др. пользователей, мы это и получим, при чём здесь признак suid? Он действительно на папку не выставляется.

[dr.Faust]

Я просто предложил способ это реализовать.
А решения задачи мы так и не получим.
Положим у нас етсь папка Снимки и она есть папка хранения фото.
Пользователь А импортирует позавчерашние фото.
F-spot создаёт в папке снимков следующую цепочку Снимки/2010/07/31 и кидает позавчерашние фотки в созданную директорию.
Пользователь А меняет рекурсивно группу и ставит на папки SGID рекурсивно.
Жизнь прекрассна.
Вечером пользователь Б добавляет вчерашние и позавчерашние фото со своей камеры. Позавчерашние фото ложатся в папку Снимки/2010/07/31 и получают общую группу, а под вчерашние создаётся папка  Снимки/2010/08/01 и эта папка уже не имеет бита SGID и фотки в ней принадлежат пользователю Б и группе Б.
Жизнь уже не так прекрасна как казалось в начале - праздник оказался недолгим...

[Nestor]

(про скрипт тоже имел в виду ? ), в следующий раз пиши яснее

Ок; А про скрипт, что имею то и

Код: [Выделить]

mamon@mamon-desktop:~$ ls suidscript -la
-rwsr-xr-x 1 root root 21 2010-08-02 20:04 suidscript
mamon@mamon-desktop:~$ cat suidscript
#!/bin/bash
echo $EUID
mamon@mamon-desktop:~$ ./suidscript
1000

в то же время с бинарником:

Код: [Выделить]

mamon@mamon-desktop:~$ cat suidbin.c
#include <stdio.h>
#include <sys/types.h>

int
main()
{
printf ("%d\n", geteuid());
return 0;
}
mamon@mamon-desktop:~$ gcc -o suidbin suidbin.c
mamon@mamon-desktop:~$ ls -la suidbin
-rwxr-xr-x 1 mamon mamon 7182 2010-08-02 20:15 suidbin
mamon@mamon-desktop:~$ ./suidbin
1000
mamon@mamon-desktop:~$ sudo chown root:root suidbin
mamon@mamon-desktop:~$ sudo chmod +s suidbin
mamon@mamon-desktop:~$ ls -la suidbin
-rwsr-sr-x 1 root root 7182 2010-08-02 20:15 suidbin
mamon@mamon-desktop:~$ ./suidbin
0



Я не программист, ты мне мозги не парь, но по крайней мере я вижу это

alex@alex-desktop:~$ sudo echo -e '#!/bin/bash\necho $UID' > suidscript
[sudo] password for alex:
alex@alex-desktop:~$ sudo chmod u+x  suidscript
alex@alex-desktop:~$ ./suidscript
bash: ./suidscript: Отказано в доступе

alex@alex-desktop:~$ sudo chmod 4755 suidscript
alex@alex-desktop:~$  ./suidscript
1000

alex@alex-desktop:~$ ls  -l suidscript
-rwsr-xr-x 1 alex alex 22 2010-08-02 19:18 suidscript
alex@alex-desktop:~$

Признак suid спокойно работает со скриптом
или что ты там что имею то и

[Mam(O)n]

alex@alex-desktop:~$  ./suidscript
1000
alex@alex-desktop:~$ ls  -l suidscript
-rwsr-xr-x 1 alex alex 22 2010-08-02 19:18 suidscript

Признак suid спокойно работает со скриптом
или что ты там что имею то и

Ты издеваешься или действительно не понял, как работает SUID? Во-первых у тебя владелец файла alex и запускаешь ты его под alex и получаешь в итоге 1000-ный UID что соответствует пользователю alex. И где именно здесь по-твоему отработал SUID?

[dr.Faust]

SUID не работает со скриптами.
Да и не нужен он для них  - лишняя дыра в безопасности будет.
Используйте sudoers  и не парьтесь.
Пользователь решил продолжить мысль 02 Августа 2010, 21:08:06:Поделюсь на всяк случай своим решением.
Для себя я сделал такие настройки - добавил в sudoers:

Код: [Выделить]

%advancers ALL=(root) /sbin/advancers/asroot-*
%advancers ALL=NOPASSWD:/sbin/advancers/nopass-*
%advancers ALL=NOPASSWD:/sbin/advancers/*-nopass-*
Создал группу advancers.
Что имеем:
Все кто у группе advancers имеют возможность выполнять скрипты имеющие префикс nopass- без пароля и имеющие префикс asroot- от имени рута. Соответственно скрипты с префиксом asroot-nopass- будут выполнятся от имени рута и без пароля.
Всё это распространяется только на скрипты в папке /sbin/advancers.
Это очень удобно и гуманоидно. Кладём скрипт в нудную папку и прямо по русски приписываем к нему - asroot- - не надо - убираем. Не надо лазить в свойства, постоянно править sudoers и т.п.

[Nestor]

Ты издеваешься или действительно не понял, как работает SUID? Во-первых у тебя владелец файла alex и запускаешь ты его под alex и получаешь в итоге 1000-ный UID что соответствует пользователю alex. И где именно здесь по-твоему отработал SUID?

Понял, должен был получить 0. Признаю, здесь был не прав