[zorp-hu] konfig fáj l jogok

Balazs Scheidler zorp-hu@lists.balabit.hu
Tue, 27 May 2003 09:29:21 +0200


On Mon, May 26, 2003 at 11:23:55PM +0200, Czakó Krisztián wrote:
> 2003-05-26, h keltezéssel Balazs Scheidler ezt írta:
> > On Mon, May 26, 2003 at 07:58:26PM +0200, Czakó Krisztián wrote:
> > > Hello,
> > > 
> > > A zorp ragaszkodik ahhoz, hogy a /etc/zorp 0700 legyen.
> > > A könyvtár és a fájlok alapesetben root.root jogon vannak.
> > > A zorpot futtatom mondjuk zorp userként.
> > > Ekkor a zorp nem tudja olvasni a /etc/zorp könyvtárat.
> > > Kikerülhető, ha a /etc/zorp a zorp useré. Ez még nem is lenne gond, mert
> > > általában rsbac szépen védi, hogy ne legyen írható így se. De most fel
> > > kellene tennem egy zorpot egy rsbac mentes gépre. És nem tetszik, hogy a
> > > zorp írhatja a konfigjait. Valami javaslat?
> > > 
> > > Bónusz: ha a zorp más-más instance-át más-más uid-el futtatom, szintén
> > > gond a jogosultság...
> > 
> > hmm... az segitene, ha csak annyit ellenorizne, hogy 0710-nal ne legyen tobb?
> > igy berakhatod a zorp uideket egy csoportba, amiknek lehet olvasas joga a
> > fileokra.
> 
> Az első problémát megoldja, mert lehet a zorp csoport pl. olvasás joggal
> minden fájlra, és a root-é a fájl. A másodikat csak részben. Működni
> fog, de nem lesz teljes a jogosaultság szeparáció.

az instances.conf-ban megadhatsz teljes eleresi utat a policyhoz:

/etc/zorp/peldany1/policy.py
/etc/zorp/peldany2/policy.py

ahol minden /etc/zorp/peldanyXX konyvtar tulajdonosa lehet mas.

-- 
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1