Hallo Leute, On 26.08.2013 22:51, Christian Boltz wrote:
Hallo Wolfgang, hallo Leute,
Am Montag, 26. August 2013 schrieb hamann.w@t-online.de:
ich glaube, die gängige Lösung ist, einer Gruppe (z.B. disk) den Zugriff auf die Festplatten zu erlauben und dann das binary auf 2777 chown irgendwas:disk zu setzen
2777 ist keine gute Idee ;-)
2777 heißt u. a. Schreibrecht für alle (sprich: jeder darf das Binary verändern!)
In Kombination mit sgid (das ist die 2 von 2777) kann dann jeder das Binary mit den Rechten der Gruppe disk (in diesem Fall) ausführen.
Im Ergebnis bekommst Du also ein vom Benutzer änderbares/austauschbares Programm mit Rechten der Gruppe disk, also Lese- und Schreibrecht auf alle Festplatten. Das willst Du nicht wirklich ;-)
Die bessere Lösung ist 2711 oder 2755 - also ohne Schreibrechte fürs Binary (außer für den Eigentümer).
Ich habe zwischenzeitlich das Problem und "die Lösung" entdeckt: Der cronjob, mit dem die Daten mittels hddtemp/sensors abgerufen und in die mysql-Datenbank eingetragen werden, kann als root ausgeführt werden. Wie durch ein Wunder haben sich damit die Rechte-Probleme in Luft aufgelöst. Einmal bei mysql eingetragen, kann jeder wwwrun-Benutzer diese dort abrufen. Im Grunde besteht damit gar kein Rechte-Problem! Dieses hatte ich mehr oder weniger selbst generiert, weil ich das php-Skript zum bestücken der mysql-Datenbank mittels Firefox ausprobieren wollte und mich wunderte, dass mir nur sensors Werte ausgab. Dann stellte ich - wie das Thema zeigt - fest, dass nur root auf /dev/sd? zugreifen kann. Ich hatte das zum Testen dann mit sudo gelöst, was ich persönlich besser/sicherer finde als irgend welche Rechte oder suid-/sgid-Bits zu setzen. Aber evtl. ist ja selbst das nur Geschmacksfrage. Abgesehen davon, dass das mit dem hddtemp-Daemon genausogut funktioniert, wollte ich mich insofern nicht selbst bloßstellen.
(Dass man mit suid- und sgid-Bits grundsätzlich zurückhaltend umgehen sollte, ist nochmal eine andere Geschichte ;-) - aber nicht Thema dieser Mail.)
Gruß & nochmals Dank an alle Mitdenkenden. Alex -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org