named -u named

Zdravim

Jaky capability? O nicem takovym nevim, modul rozhodne nemam a nikdy jsem si toho v kernelu nevsiml, a to jsem ho kompiloval uz mockrat.

Ja mam na slacku taky DNS, instaloval jsme z balicku kterej obsahuje i prislusny rc.bind, takze envim co resis, prikladam nize:

#!/bin/sh
# Start/stop/restart the BIND name server daemon (named).

# Start bind.  In the past it was more secure to run BIND
# as a non-root user (for example, with '-u daemon'), but
# the modern version of BIND knows how uses to use the
# kernel's capability mechanism to drop all root privileges
# except the ability to bind() to a privileged port and set
# process resource limits, so -u should not be needed.  If
# you wish to use it anyway, chown the /var/run/named
# directory to the non-root user.
#
# You might also consider running BIND in a "chroot jail",
# a discussion of which may be found in
# /usr/doc/Linux-HOWTOs/Chroot-BIND-HOWTO.

bind_start() {
  if [ -x /usr/sbin/named ]; then
    echo "Starting BIND:  /usr/sbin/named"
    /usr/sbin/named
  fi
}

# Stop bind:
bind_stop() {
  killall named
}

# Restart bind:
bind_restart() {
  bind_stop
  sleep 1
  bind_start
}

case "$1" in
'start')
  bind_start
  ;;
'stop')
  bind_stop
  ;;
'restart')
  bind_restart
  ;;
*)
  echo "usage $0 start|stop|restart"
esac

Je teda fakt ze defaultne named bezi pod rootem, i kdyz jsem nastavil prava /var/run/named na 777 a restartoval named porad bezi pod rootem.

P.S.: Jestli to treba neni tim ze jsi nevyrobil toho usera named.

Zdenek

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

16.3.2005 11:16 rezavý | skóre: 15 | Brušperk
Rozbalit Rozbalit vše Re: named -u named

nevim co mate na slacku, ale mne tyto hovadské hlášky vyhazoval RHEL3.0 po přechodu na 2.6 kernel a rozhodně to nebylo chybějícím userem. No offi na slacku mají ještě 2.4 jestli jste ten přechod nezkusil jěště jste to nezažil.

16.3.2005 11:41 cyril
Rozbalit Rozbalit vše Re: named -u named

Asi to bude ono. Mam jadro 2.6.10 a tak se zkusim vratit k jadru 2.4.xx a uvidim co to bude delat.

samozrejme, ze jsem mel udelaneho uzivatele named a skupinu take. az to vse spustim pod 2.4.xx, tak napisu.

Cyril

Zdravim

Ja mam 2.6.7, ale jak jsem napsal vyse, jede mi to pod rootem. Zkus to nejdriv jestli to jede pod rootem a pak res nejakyho usera named. No ale jestli to vyresis tak bych si to taky udelal, precejenom je to na iGW, a tak bezpecnost se hodi.

Zdenek

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

16.3.2005 15:58 cyril
Rozbalit Rozbalit vše Re: named -u named

Tak jsem zkusil spustit bind pod jadrem 2.4.xx a vse bylo OK. takze je potreba neco udelat v jadre a pak to bude chodit i pod 2.6.xx. Diky za vse. Moc mi to helplo. Cyril

17.3.2005 09:46 rezavý | skóre: 15 | Brušperk
Rozbalit Rozbalit vše Re: named -u named

Opravdu jedine co je treba je mit natvrdo zkompilovany capability nebo je zavest modprobe před bindem. Cituji FAQ od binda:

Q: I get the error message "named: capset failed: Operation not permitted" when starting named.

A: The capset module has not been loaded into the kernel. See insmod(8).

Maturováním z jedním serverem kde mně kolega takto vyměnil HW+kernel bylo zjisteno že capset odpovidá v 2.6. kernelu modulu capability.

Rýpnutí:

Pokud pan Štěpánek neměl vaše problémy, je zcela pravděpodpobné že měl daný modul natažený, nebo natvrdo zkompilovaný v kernelu. Jistě pokud by daný modul u sebe zkusil vyrazit, měl by pravděpodobně stejné zažívací obtíže.

Poznámka:

Dost mne pane Štěpánek točí v diskuzi lidi vašeho typu kteří mají ke všemu moc připomínek a snaží se všechny dookola, kteří se snaží pomoci z řešením problému jen zhodit, aby se sami předvedli. Potom se všichni nováčci Linuxoví diví, že ta komunita je jaksi nechce a dokonce jim nikdo nechce pomoci z jejich problémy. Bodejť pokud položí dotaz a lidi kteří by pomoci mohli si řeknou, no zase se tu bude předvádět nějaký (obsah závorky doplňte sám), na to se múžu jedině (obsah závorky doplňte sám).

S pozdravem k vašemu "GURU"

Adam Štalmach

17.3.2005 14:21 tichyc | skóre: 5
Rozbalit Rozbalit vše Re: named -u named

Diky za pomoc. Jiz je to vyreseno. Zatim pod jadrem 2.4.29, ale s timto navodem nebudu dlouho otalet prejit na 2.6.11. Jeste jednou diky.

Cyril

18.3.2005 09:01 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: named -u named

Zdravim

Nemam chut se s vama hadat, ale me taky vadi ze prijde nekdo se jmenem ktereho jsem si na abicku jeste nevsiml a hned prudi ty kdo odpovidaji na 5 dotazu denne.

Prozradte mi prosim kde v jadru najdu to capability. Jako modul to nemam (nechapu vasi narazku, snad znam svoje systemy) a i kdyz jsem dvakrat prolezl kernel a grepoval .config (vanilla 2.6.7) tak jsem zadny capability nenasel.

Zdenek

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

18.3.2005 11:02 rezavý | skóre: 15 | Brušperk
Rozbalit Rozbalit vše Re: named -u named

Security options --->

Default Linux Capabilities

Neodpovidam kdyz nema co rici ....

Hezky den

18.3.2005 21:22 tichyc | skóre: 5
Rozbalit Rozbalit vše Re: named -u named

Ahoj, uz mi to jede i pod jinym uzivatelem. Jsem rad, ze jste mi vsichni pomohli.

Diky zde mas postup pro jineho uzivatele:

groupadd -g 902 named

#Potom přidáme uživatele named:

useradd -d /var/named -u 902 -g named -M -s /bin/false named

#Změníme vlastníka adresáře named:

chown named.named /var/named

#... a také všeho, co je v něm

cd /var/named && chown named.named *

#Nakonec změníme vlastníka procesu named:

chown named.named /var/run/named

#Odteď budeme DNS server spouštět příkazem:

named -u named

#Aby se nám DNS spouštěl pod novým uživatelem pokaždé, přidáme parametr -u named do příslušné části souboru /etc/rc.d/rc.bind. Výsledek bude vypadat takto:

bind_start() { if [ -x /usr/sbin/named ]; then

echo "Starting BIND: /usr/sbin/named -u named"

# zde to není až tak důležité

/usr/sbin/named -u named

# zde ano

fi }

# me toto funguje, snad se to i Tobe podari

Dotaz: named -u named

Odpovědi