I permessi su kppp, PAM e sicurezza

Gica78R · 20-05-2005, 12:22

Ciao!

Ho finalmente capito perche' con Fedora per avviare kppp serve sempre la password di root... In pratica, anziche' lanciare /usr/sbin/kppp, viene invocato /usr/bin/kppp che e' un semplice link a /usr/bin/consolehelper, che si preoccupa di chiedere la password e poi di avviare il programma il cui nome coincide con quello del link (semplificando un po', eh!).
Ho notato che i files di configurazione di consolehelper (e forse anche userhelper

) sono /etc/pam.conf e i vari files contenuti in /etc/pam.d.
Poiche' non ho capito bene come si configurano (la documentazione e' un po' incasinata, e quella che ho trovato sul sito di RedHat e' abbastanza superficiale), mi chidevo: che rischi per la sicurezza si corrono se, anziche' usare consolehelper per l'avvio di kppp, faccio in modo che venga invocato direttamente /usr/sbin/kppp? I permessi non li devo cambiare, perche' cosi' com'e' e' esegiubile da parte di chiunque. L'unica cosa che cambia, e' che chiunque acceda fisicamente al mio PC puo' avviare una connessione ad Internet... Giusto?

Gica78R · 20-05-2005, 15:08

Provando a invocare direttamente /usr/sbin/kppp ho visto che c'e' comunque necessita' di essere root, altrimenti pppd non va... Ho provato a impostare il suid per kppp, ma non mi piace per niente come soluzione.
Resta da vedere se tramite consolehelper sia possibile avviare kppp senza che mi chieda la password di root...

Qualche suggerimento? Documentazione su consolehelper, che non siano la man pages?

Grazie,
Gica

20-05-2005, 12:22	#1
Gica78R Senior Member Iscritto dal: Mar 2005 Città: /home/gica Messaggi: 1653	I permessi su kppp, PAM e sicurezza Ciao! Ho finalmente capito perche' con Fedora per avviare kppp serve sempre la password di root... In pratica, anziche' lanciare /usr/sbin/kppp, viene invocato /usr/bin/kppp che e' un semplice link a /usr/bin/consolehelper, che si preoccupa di chiedere la password e poi di avviare il programma il cui nome coincide con quello del link (semplificando un po', eh!). Ho notato che i files di configurazione di consolehelper (e forse anche userhelper ) sono /etc/pam.conf e i vari files contenuti in /etc/pam.d. Poiche' non ho capito bene come si configurano (la documentazione e' un po' incasinata, e quella che ho trovato sul sito di RedHat e' abbastanza superficiale), mi chidevo: che rischi per la sicurezza si corrono se, anziche' usare consolehelper per l'avvio di kppp, faccio in modo che venga invocato direttamente /usr/sbin/kppp? I permessi non li devo cambiare, perche' cosi' com'e' e' esegiubile da parte di chiunque. L'unica cosa che cambia, e' che chiunque acceda fisicamente al mio PC puo' avviare una connessione ad Internet... Giusto? __________________ gianluca@gicastation:~$ tar -c tar: Codardamente mi rifiuto di creare un archivio vuoto

20-05-2005, 15:08	#2
Gica78R Senior Member Iscritto dal: Mar 2005 Città: /home/gica Messaggi: 1653	Provando a invocare direttamente /usr/sbin/kppp ho visto che c'e' comunque necessita' di essere root, altrimenti pppd non va... Ho provato a impostare il suid per kppp, ma non mi piace per niente come soluzione. Resta da vedere se tramite consolehelper sia possibile avviare kppp senza che mi chieda la password di root... Qualche suggerimento? Documentazione su consolehelper, che non siano la man pages? Grazie, Gica __________________ gianluca@gicastation:~$ tar -c tar: Codardamente mi rifiuto di creare un archivio vuoto

Strumenti
Mostra una versione stampabile Invia questa pagina per email