Hallo *,
ich suche ein Programm, in welchem ich eine shell (z.B. bash) starten und auf die anschließend ein weiterer kandidat (mit)lesend zugreifen kann. voraussetzung: ich starte die shell als root und der benutzer greift mit einem nicht-root-account read-only darauf zu.
ist "screen" für sowas geeignet?
Grüße /Marian
am Thu, dem 27.03.2008, um 8:39:23 +0100 mailte Marian Neubert folgendes:
Hallo *,
ich suche ein Programm, in welchem ich eine shell (z.B. bash) starten und auf die anschließend ein weiterer kandidat (mit)lesend zugreifen kann. voraussetzung: ich starte die shell als root und der benutzer greift mit einem nicht-root-account read-only darauf zu.
ist "screen" für sowas geeignet?
Ja.
Andreas
Hi Marian,
On Thu, Mar 27, 2008 at 08:39:23 +0100, Marian Neubert wrote:
ich suche ein Programm, in welchem ich eine shell (z.B. bash) starten und auf die anschliessend ein weiterer kandidat (mit)lesend zugreifen kann. voraussetzung: ich starte die shell als root und der benutzer greift mit einem nicht-root-account read-only darauf zu.
ist "screen" fuer sowas geeignet?
Sowas _sollte_ mit screen funktionieren. Tut's aber leider nicht richtig (siehe unten).
Dazu muss das screen-Binary suid-root laufen und der Owner der screen-session (root) muss den Multiuser Mode einschalten und entsprechende ACLs setzen:
ctrl-a :multiuser on ctrl-a :aclchg username +r-w #
Der unprivilegierte User kann sich nun an die Session dranhaengen:
screen -x root/PID.TTY
(welches PID und TTY das ist, ermittelt root mit "screen -ls")
Dummerweise ist es dem User trotz -w noch moeglich, Eingaben in der Session zu taetigen. Ich weiss momentan nicht, wo der Fehler liegt.
Gruss, Chris
Hi Marian,
ich suche ein Programm, in welchem ich eine shell (z.B. bash) starten und auf die anschliessend ein weiterer kandidat (mit)lesend zugreifen kann. voraussetzung: ich starte die shell als root und der benutzer greift mit einem nicht-root-account read-only darauf zu.
ist "screen" fuer sowas geeignet?
Habe eben etwas im Archiv der Screen-Mailingliste gestoebert. So gehts:
* screen muss suid-root laufen
* Die .screenrc von root enthaelt folgende Eintraege: multiuser on aclumask ?+r-w-x aclumask ??+r-w-x aclchg user +r "#" aclchg user -w "#" aclchg user -x "#?" aclchg user +x "#detach,next"
* root startet die Session mit Namen "shared": screen -S shared
* user haengt sich dran: screen -x root/shared
Der user darf jetzt nur lesen, nicht schreiben. Die einzigen Screen-Kommandos, die er ausfuehren darf sind ctrl-a d (detach) und ctrl-a n (next).
Gruss, Chris (der so langsam fuer einen Screen-Vortrag motiviert ist)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hey,
Am 27.03.2008 um 22:06 schrieb Christian Perle
Gruss, Chris (der so langsam fuer einen Screen-Vortrag motiviert ist)
Wann? Wo? :)
Ben
Hi Benjamin,
On Thu, Mar 27, 2008 at 22:25:24 +0100, Benjamin Fritsch wrote:
Chris (der so langsam fuer einen Screen-Vortrag motiviert ist)
Wann? Wo? :)
Auf einem der naechsten LUG-Treffen, also im GAG18. Erstmal ist aber Konrad mit seinem "Desktop Security"-Thema dran. Meinen Vortrag wird es fruehestens am 24.4. geben.
Gruss, Chris
hi chris,
- screen muss suid-root laufen
- Die .screenrc von root enthaelt folgende Eintraege:
multiuser on aclumask ?+r-w-x aclumask ??+r-w-x aclchg user +r "#" aclchg user -w "#" aclchg user -x "#?" aclchg user +x "#detach,next"
- root startet die Session mit Namen "shared":
screen -S shared
- user haengt sich dran:
screen -x root/shared
Der user darf jetzt nur lesen, nicht schreiben. Die einzigen Screen-Kommandos, die er ausfuehren darf sind ctrl-a d (detach) und ctrl-a n (next).
das macht genau das, was ich brauche - hervorragend!
Gruss, Chris (der so langsam fuer einen Screen-Vortrag motiviert ist)
bin dabei - der manpage nach wird der länger ;o)
Grüße /Marian
Chris (der so langsam fuer einen Screen-Vortrag motiviert ist)
Das wird ja ein heisser April ! Yeah, Chris, give it to us !!
-- ingo jannick [755BE1A6] => http://wwwkeys.de.pgp.net
You've been leading a dog's life. Stay off the furniture.
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Benjamin Fritsch -
Christian Perle -
Ingo Jannick -
Marian Neubert