Сообщения Linuxoid2015

МФУ Canon PIXMA MP280 не распознается как сканер от юзера не смотря на все разрешения

Хотя здесь уже создавались темы и по этому конкретно МФУ, но все-же обычно после применения правила udev:

ATTRS{idVendor}=="04a9", ATTRS{idProduct}=="1746", MODE="0664", GROUP="scanner", ENV{libsane_matched}="yes"

и уж тем более:

ATTRS{idVendor}=="04a9", ATTRS{idProduct}=="1746", MODE="0666", GROUP="scanner", ENV{libsane_matched}="yes"

сканер должен распознаваться под как минимум пользователем из группы scanner (во втором случае - под любым). Но у меня не распознается, вот под рутом даже

scanimage -T

команда срабатывает - это говорит о том что проблема скорее всего в правах. И ведь вывод

ls -l /dev/bus/usb/<bus>/<device>

выглядит так:

crw-rw-rw-+ 1 root scanner 189, 3 апр  9 13:59 /dev/bus/usb/001/004

Чего ему не хватает? Система Gentoo x86 практически вся stable, ядро 4.4.2-hardened, OpenRC, eudev, пользователь в группе scanner.

eudev, hardened, permissions, sane, мфу

Linuxoid2015
(09.04.16 14:17:00 MSK)

10 комментариев

Tor и некоторые другие демоны запускаются со странными правами

Я решил в целях безопасности запускать tor от имени одноименного пользователя, созданного portage при установке тора:

sudo -u tor tor

. И что же я обнаружил - в top видно что демон (да, в torrc указана опция RunAsDaemon 1) выполняется от юзера tor, но стоит зайти в Xfce и запустить xfce4-taskmanger, как можно заметить, что диспетчер задач считает, что процесс выполняется с правами root. Вывод

ls -la /proc/<pid_tor>

вызывает удивление:

ls: невозможно считать символьную ссылку /proc/5121/cwd: Отказано в доступе
ls: невозможно считать символьную ссылку /proc/5121/root: Отказано в доступе
ls: невозможно считать символьную ссылку /proc/5121/exe: Отказано в доступе
итого 0
dr-xr-xr-x  8 tor  tor  0 фев 21 18:41 .
dr-xr-xr-x 90 root root 0 фев 21 12:30 ..
-rw-r--r--  1 root root 0 фев 21 18:42 autogroup
-r--------  1 root root 0 фев 21 18:42 auxv
-r--r--r--  1 root root 0 фев 21 18:42 cgroup
-r--r--r--  1 root root 0 фев 21 18:42 cmdline
-rw-r--r--  1 root root 0 фев 21 18:42 comm
-rw-r--r--  1 root root 0 фев 21 18:42 coredump_filter
lrwxrwxrwx  1 root root 0 фев 21 18:42 cwd
-r--------  1 root root 0 фев 21 18:42 environ
lrwxrwxrwx  1 root root 0 фев 21 18:42 exe
dr-x------  2 root root 0 фев 21 18:42 fd
dr-x------  2 root root 0 фев 21 18:42 fdinfo
-r--------  1 root root 0 фев 21 18:42 io
-r--------  1 root root 0 фев 21 18:42 ipaddr
-r--r--r--  1 root root 0 фев 21 18:42 limits
-rw-r--r--  1 root root 0 фев 21 18:42 loginuid
dr-x------  2 root root 0 фев 21 18:42 map_files
-r--r--r--  1 root root 0 фев 21 18:42 maps
-rw-------  1 root root 0 фев 21 18:42 mem
-r--r--r--  1 root root 0 фев 21 18:42 mountinfo
-r--r--r--  1 root root 0 фев 21 18:42 mounts
-r--------  1 root root 0 фев 21 18:42 mountstats
dr-xr-xr-x  7 tor  tor  0 фев 21 18:42 net
dr-x--x--x  2 root root 0 фев 21 18:42 ns
-rw-r--r--  1 root root 0 фев 21 18:42 oom_adj
-r--r--r--  1 root root 0 фев 21 18:42 oom_score
-rw-r--r--  1 root root 0 фев 21 18:42 oom_score_adj
-r--------  1 root root 0 фев 21 18:42 personality
lrwxrwxrwx  1 root root 0 фев 21 18:42 root
-r--r--r--  1 root root 0 фев 21 18:42 schedstat
-r--r--r--  1 root root 0 фев 21 18:42 sessionid
-r--r--r--  1 root root 0 фев 21 18:41 stat
-r--r--r--  1 root root 0 фев 21 18:41 statm
-r--r--r--  1 root root 0 фев 21 18:42 status
dr-xr-xr-x  3 tor  tor  0 фев 21 18:42 task

И это при том что никакого suid/sgid бита на /usr/bin/tor не выставлено. И такие права имеет так же ntpd демон запущенный от юзера ntp (за исключением, понятно net и task) с помощью openrc а еще ssh-agent автозапускаемый при старте xfce. Но, например таким-же образом запускаемый gpg-agent или gvfsd имеют следующие права:

итого 0
dr-xr-xr-x   8 user  user  0 фев 27 16:32 .
dr-xr-xr-x 127 root root 0 фев 27 13:33 ..
-rw-r--r--   1 user  user  0 фев 27 17:20 autogroup
-r--------   1 user  user  0 фев 27 17:20 auxv
-r--r--r--   1 user  user  0 фев 27 17:20 cgroup
-r--r--r--   1 user  user  0 фев 27 16:32 cmdline
-rw-r--r--   1 user  user  0 фев 27 17:20 comm
-rw-r--r--   1 user  user  0 фев 27 17:20 coredump_filter
lrwxrwxrwx   1 user  user  0 фев 27 17:20 cwd -> /
-r--------   1 user  user  0 фев 27 17:20 environ
lrwxrwxrwx   1 user  user  0 фев 27 17:20 exe -> /usr/libexec/gvfsd
dr-x------   2 user  user  0 фев 27 17:20 fd
dr-x------   2 user  user  0 фев 27 17:20 fdinfo
-r--------   1 user  user  0 фев 27 17:20 io
-r--------   1 user  user  0 фев 27 17:20 ipaddr
-r--r--r--   1 user  user  0 фев 27 17:20 limits
-rw-r--r--   1 user  user  0 фев 27 17:20 loginuid
dr-x------   2 user  user  0 фев 27 17:20 map_files
-r--r--r--   1 user  user  0 фев 27 17:20 maps
-rw-------   1 user  user  0 фев 27 17:20 mem
-r--r--r--   1 user  user  0 фев 27 17:20 mountinfo
-r--r--r--   1 user  user  0 фев 27 17:20 mounts
-r--------   1 user  user  0 фев 27 17:20 mountstats
dr-xr-xr-x   6 user  user  0 фев 27 17:20 net
dr-x--x--x   2 user  user  0 фев 27 17:20 ns
-rw-r--r--   1 user  user  0 фев 27 17:20 oom_adj
-r--r--r--   1 user  user  0 фев 27 17:20 oom_score
-rw-r--r--   1 user  user  0 фев 27 17:20 oom_score_adj
-r--------   1 user  user  0 фев 27 17:20 personality
lrwxrwxrwx   1 user  user  0 фев 27 17:20 root -> /
-r--r--r--   1 user  user  0 фев 27 17:20 schedstat
-r--r--r--   1 user  user  0 фев 27 17:20 sessionid
-r--r--r--   1 user  user  0 фев 27 16:32 stat
-r--r--r--   1 user  user  0 фев 27 17:20 statm
-r--r--r--   1 user  user  0 фев 27 17:20 status
dr-xr-xr-x   4 user  user  0 фев 27 17:20 task

Правда вывод

sudo lsof -c tor

говорит о том что используемые процессом файлы открыты от юзера tor. Я пробовал cделать владельцем бинарника пользователя tor и, поставив на него suid бит запустить. Пробовал запускать от своего текущего пользователя, от которого залогинен. Но все равно в диспетчере задач он root, а

ls -la /proc/<pid>

дает такой пугающий вывод. Интересно что когда запускаешь

sudo -u tor tor

, в taskmanager видно, что процесс вроде как был запущен от tor, но тут же был завершен и запущен уже как root. У меня вопрос к знатокам безопасности linux: нормально ли что процесс так запускается, может ли демон с такими правами читать/писать/запускать файлы с правами root в системе? Если да то спасет ли chroot со всеми кроме самой нижней (capabilitys ..) ограничениями grsecurity в конфиге ядра, или он с такими правами может выбраться из chroot-a или запустить процесс за его пределами? Устанавливал я Xfce по вот этой http://wiki.enchtex.info/howto/gentoo/gentoo_install_xfce и этой http://wiki.gentoo.org/wiki/Xfce/Guide/ru инструкции и поэтому у меня стоят D-bus, consolekit и policykit, pam еще по зависимостям притянулся, может в ком то из них дело? А может дело в ядре?

daemon, tor, xfce, безопасность, паранойя

Linuxoid2015
(28.02.16 11:50:32 MSK)

7 комментариев

После обновления мира в Gentoo при запуске иксов от юзера не работают устройства ввода.

Я запускал обновление мира

sudo emerge -uDN @world

на Gentoo (старый нетбук, ACCEPTED_KEYWORD = «x86», ядро hardened 4.1.7-r1, а DE Xfce4), там было перечислено где то ~80 пакетов вот их список http://pastebin.com/t130Ehgj.У меня был включен флаг FEATURES = «collision-protect» до сих пор я его даже не замечал, но теперь установка пакетов стала обрываться из-за коллизий и я решил отключить этот флаг. После этого было установлено несколько пакетов, но я почитав man make.conf всеже включил флаг protect-owned, portage от этого не перестал ругаться на коллизии, но пакеты установились. В конце было предложено запустить etc-update, но я бук выключил, и вследующий раз запустил Xfce не обновив конфигов. От рута после startx, в Xfce, все устройства ввода вроде нормально работают, а вот от обычного юзера ни клавиатура, ни тачпад ни usb-мышь ни даже кнопка питания не действуют, правда если вытащить и вставить мышь, она включается и начинает управлять указателем. Вот Xorg.0.log от юзера http://pastebin.com/zdKHYYHp , а вот для сравнения он же от рута http://pastebin.com/g1UfH9pt. Файла /etc/x11/xorg.conf у меня нет, возможно он был удален при установке пакетов без защиты от коллизий(?). Что я пытался сделать: пересобрать xorg, пересобрать драйвера xorg, связанные с вводом (keyboard, mouse, evdev), пересобрать udev, пересобрать openrc. Когда пересобирал udev, там было сказано, что не настроена опция

CONFIG_FHANDLE

в ядре, и это может привести к непредсказуемым ошибкам. Пересобрал ядро с включенным FHANDLE - не помогло. Пытался как в https://www.linux.org.ru/forum/desktop/6265876#comment-6266009 (комментарий) удалить каталог /run и перезагрузиться - не помогло. И ведь самое главное: под рутом все работает, под юзером нет! Кстати, когда выходишь из из Xfce, в выводе консоли видны такие примерно строчки «thunar-volman не найдено устройство по системному пути, тут длинный путь, оканчивающийся mouse0». Мое мнение - это как то связано с новой версией udev, но что делать - не знаю, я новичек в линуксах. Помогите пожалуйста!

gentoo, udev, user, xorg-server

Linuxoid2015
(19.01.16 15:00:06 MSK)

31 комментарий

RSS подписка на новые темы