Je me débat avec un problème que je trouve idiot: sous fedora (et autres
distrib, je pense) on peut donner aux utilisateurs le droit d'activer ou
désactiver les interface internet (USERCTL=yes) mais l'interface
graphique (system-config-network), qui permet de faire ça, réclame le
mot de passe de root....
J'ai regardé dans le manuel de Redhat: c'est tout simple, le
system-config-network est contrôlé par pam. Il suffit donc d'ajouter au
fichier: /etc/pam.d/system-config-network les lignes suivantes:
de créer le fichier etc/pam.d/network.allow avec la liste des
utilisateurs autorisés....
Et bien ça ne marche pas!
De plus, ce fichier /etc/pam.d/system-config-network utilise une syntaxe
qui n'existe pas dans le manuel de pam:
#%PAM-1.0
auth include config-util
account include config-util
session include config-util
Si quelqu'un a des lueurs....
C'est idiot ce problème: si on fournit un portable à un utilisateur, il
faut qu'il puisse changer les configs internet et on n'est pas obligé de
lui donner le mot de passe de root pour autant!
Merci.
--
François Patte
Université Paris 5 - Paris
Je n'ai pas trouvé de bug concernant ce problème et je n'en a i pas proposé, me demandant si c'est vraiment un bug ou la volonté de fedora qu'il en soit ainsi. Le seul bug serait un manque de doc sur pam, mais les manque de doc....
Je rappelle le problème:
Je me débat avec un problème que je trouve idiot: sous fedora (et autres distrib, je pense) on peut donner aux utilisateurs le droit d'activer ou désactiver les interface internet (USERCTL=yes) mais l'interface graphique (system-config-network), qui permet de faire ça, réclame le mot de passe de root....
Ca se joue en 2 temps (3 mouvements):
1- dans /etc/security/console.apps/system-config-network ajouter la ligne: FALLBACK=true
Quand on lance l'interface, ça ajoute un bouton: "Exécuter sans privilèges"
2- dans /usr/share/system-config-network/netconf.py commenter (avec #) le passage:
if not os.access(NC_functions.getRoot(), os.W_OK): if os.getuid() != 0: from netconfpkg.gui import GUI_functions GUI_functions.generic_error_dialog (_("Please start system-config-network " "with root permissions!n")) sys.exit(10)
Quand on clique le bouton "Exécuter sans privilèges", on obtient alors l'interface adhoc.
Ne pas oublier de mettre dans les fichiers de contrôle des interfaces wifi et ppp:
USERCTL=yes
Ca c'étaient les 2 temps....
Le 3è mouvement: je ne connais rien à python.... On peut, peut-être, faire mieux que sauvagement commenter le passage dans le script...
Si quelqu'un voit des trous de sécurité...
-- François Patte Université Paris 5 - Paris
François Patte - <46176fd2$0$25914$ba4acef3@news.orange.fr> :
Bonjour,
Bonjour,
Si quelqu'un a des lueurs....
https://bugzilla.redhat.com/ ?
Je n'ai pas trouvé de bug concernant ce problème et je n'en a i pas
proposé, me demandant si c'est vraiment un bug ou la volonté de fedora
qu'il en soit ainsi. Le seul bug serait un manque de doc sur pam, mais
les manque de doc....
Je rappelle le problème:
Je me débat avec un problème que je trouve idiot: sous fedora (et autres
distrib, je pense) on peut donner aux utilisateurs le droit d'activer ou
désactiver les interface internet (USERCTL=yes) mais l'interface
graphique (system-config-network), qui permet de faire ça, réclame le
mot de passe de root....
Ca se joue en 2 temps (3 mouvements):
1- dans /etc/security/console.apps/system-config-network
ajouter la ligne: FALLBACK=true
Quand on lance l'interface, ça ajoute un bouton: "Exécuter sans privilèges"
2- dans /usr/share/system-config-network/netconf.py
commenter (avec #) le passage:
if not os.access(NC_functions.getRoot(), os.W_OK):
if os.getuid() != 0:
from netconfpkg.gui import GUI_functions
GUI_functions.generic_error_dialog (_("Please
start system-config-network "
"with root permissions!n"))
sys.exit(10)
Quand on clique le bouton "Exécuter sans privilèges", on obtient alors
l'interface adhoc.
Ne pas oublier de mettre dans les fichiers de contrôle des interfaces
wifi et ppp:
USERCTL=yes
Ca c'étaient les 2 temps....
Le 3è mouvement: je ne connais rien à python.... On peut, peut-être,
faire mieux que sauvagement commenter le passage dans le script...
Je n'ai pas trouvé de bug concernant ce problème et je n'en a i pas proposé, me demandant si c'est vraiment un bug ou la volonté de fedora qu'il en soit ainsi. Le seul bug serait un manque de doc sur pam, mais les manque de doc....
Je rappelle le problème:
Je me débat avec un problème que je trouve idiot: sous fedora (et autres distrib, je pense) on peut donner aux utilisateurs le droit d'activer ou désactiver les interface internet (USERCTL=yes) mais l'interface graphique (system-config-network), qui permet de faire ça, réclame le mot de passe de root....
Ca se joue en 2 temps (3 mouvements):
1- dans /etc/security/console.apps/system-config-network ajouter la ligne: FALLBACK=true
Quand on lance l'interface, ça ajoute un bouton: "Exécuter sans privilèges"
2- dans /usr/share/system-config-network/netconf.py commenter (avec #) le passage:
if not os.access(NC_functions.getRoot(), os.W_OK): if os.getuid() != 0: from netconfpkg.gui import GUI_functions GUI_functions.generic_error_dialog (_("Please start system-config-network " "with root permissions!n")) sys.exit(10)
Quand on clique le bouton "Exécuter sans privilèges", on obtient alors l'interface adhoc.
Ne pas oublier de mettre dans les fichiers de contrôle des interfaces wifi et ppp:
USERCTL=yes
Ca c'étaient les 2 temps....
Le 3è mouvement: je ne connais rien à python.... On peut, peut-être, faire mieux que sauvagement commenter le passage dans le script...