[gentoo-user-de] Schreibbare Shadowdatei im read-only-Modus

25/01/2008 - 16:10 von Kim Weilie | Report spam
Hi,

Ich habe hier ein Dateisystem, welches größtenteils im read-only-Modus
làuft. Variablen, Cache und Logs habe ich entwder im Ram oder auf einer
schreibbaren Partition. Bis auf die shadow-Datei làuft das eigentlich
auch ganz gut.
Um anderen Benutzern das Ändern ihrer Passwörter zu gestatten wollte
ich die shadow-Datei auf 'ne schreibbare Partition linken.

Bei dem Versuch ein Passwort zu àndern, kommt allerdings:
"passwd: Authentication token lock busy"

Remounte ich das System wieder schreibbar, kann ich das Passwort
àndern, dann wird aber der Symlink gelöscht und durch eine vollstàndige
Passwort-Datei ersetzt.
Ich vermute mal, dass das irgendein Schutzmechanismus ist. Kann ich da
irgendwas machen, ohne tief in dem Quellcode rumzuwursteln? Gibt es gar
eine globale Variable, die zur Passwort-Datei zeigt?

Danke im Voraus,
Kim
gentoo-user-de@lists.gentoo.org mailing list
 

Lesen sie die antworten

#1 Arnold Krille
25/01/2008 - 16:30 | Warnen spam
Am 25.01.08 schrieb Kim Weilie :
Ich habe hier ein Dateisystem, welches größtenteils im read-only-Modus
làuft. Variablen, Cache und Logs habe ich entwder im Ram oder auf einer
schreibbaren Partition. Bis auf die shadow-Datei làuft das eigentlich
auch ganz gut.
Um anderen Benutzern das Ändern ihrer Passwörter zu gestatten wollte
ich die shadow-Datei auf 'ne schreibbare Partition linken.
Bei dem Versuch ein Passwort zu àndern, kommt allerdings:
"passwd: Authentication token lock busy"



Der Fehler ist, das kein lock angelegt werden kann. Geht auch nicht
auf einem read-only-device.

Remounte ich das System wieder schreibbar, kann ich das Passwort
àndern, dann wird aber der Symlink gelöscht und durch eine vollstàndige
Passwort-Datei ersetzt.



Wàre ja auch zu schön, wenn symlink-Attacken so einfach zum Ziel
führen würden...

Ich vermute mal, dass das irgendein Schutzmechanismus ist. Kann ich da
irgendwas machen, ohne tief in dem Quellcode rumzuwursteln? Gibt es gar
eine globale Variable, die zur Passwort-Datei zeigt?



Alternative: ein unionfs über /etc mounten. Musst Du nur noch dafür
sorgen, das die shadow beim runterfahren an die richtige Stelle
kopiert wird, wenn das overlay in einem tmpfs ist...

Arnold
visit http://www.arnoldarts.de/
mailing list

Ähnliche fragen