Šifrovaný loopback - přístip běžného uživatele

Problém s "namapováním" souboru na loopback zařízení pod ne-rootem. Jádro 2.6.11.7 , util-linux 2.12p .

---------------------------------------------------
amichael@pluto:~$ /sbin/losetup -e aes /dev/loop0 ~/encrypted_data
memlock: Nelze alokovat paměť
Nelze zamknout v paměti. Končím.
---------------------------------------------------

Pod rootem proběhne ok.
Uživatel amichael má na zařízení loop0 přístup pro čtení i zápis.
Moduly kernelu jsou v paměti (loop, aes_i586).

Doufám, že jediným řešením není nastavit suid bit na /sbin/losetup :-(

mlock() a spol. funguje jen pro roota, podle zdrojáků nepůjde bez roota ani nastavení šifrování (viz test capable(CAP_SYS_ADMIN)), takže nějaká setuid binárka je IMHO nevyhnutelná. Otázka je tedy, jestli už něco takového existuje, to ale nevím :-(

Jinak by to šlo obejít přes sudo nebo nastavením setuid na losetup a vytvořením speciální skupiny, která to smí spouštět (chmod 4750 /cesta/k/losetup).

6.5.2005 17:24 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: Šifrovaný loopback - přístip běžného uživatele

Hm, tak s tím loop.c možná kecám, ale stejně se to tam vůbec nedostane, protože losetup si zamyká paměť.

6.5.2005 22:23 MichalX
Rozbalit Rozbalit vše Re: Šifrovaný loopback - přístip běžného uživatele

Tak už jsem si pročetl manuálovou stránku k fci mlock a opravdu je úspěšná jenom pod uid 0. Ta kombinace suid & skupina pro spuštění by měla splnit mé požadavky. Díky za odpověď.

7.5.2005 15:42 petr_p
Rozbalit Rozbalit vše Re: Šifrovaný loopback - přístip běžného uživatele

Uz se na tom pracuje http://thread.gmane.org/gmane.linux.kernel/296958.

Dotaz: Šifrovaný loopback - přístip běžného uživatele

Odpovědi