#12823 – debatable permissions on cdrws

Bug 12823 - debatable permissions on cdrws

Summary: debatable permissions on cdrws

Status:	NEW

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	pam0_console (show other bugs)
Version:	unstable
Hardware:	all Linux

Importance:	P2 normal
Assignee:	Nobody's working on this, feel free to take it
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:
Blocks:	14491
	Show dependency tree

Reported:	2007-09-18 16:58 MSD by viy
Modified:	2011-11-20 16:20 MSK (History)
CC List:	8 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description viy 2007-09-18 16:58:37 MSD

broken permissions on cdrws:
pam0_console полагается на какое-то устаревшее поведение udev.

pam0_console-0.99.6.3-alt2
Имеем два пишущих привода:
/dev/hdd:
 Model=SONY DVD RW AW-G170A, FwRev=1.71, SerialNo=

/dev/hdc:
 Model=TSSTcorp CDW/DVD SH-M522C, FwRev=TS03, SerialNo=

оба пишущие.

имеем симлинки: (автосозданы)
l /dev/cd* /dev/dvd*
lrwxrwxrwx 1 root root 3 Sep 17  2007 /dev/cdrom -> hdc
lrwxrwxrwx 1 root root 3 Sep 17  2007 /dev/dvd -> hdc

pam0_console пихает их в группу cdrom:
l /dev/hd[cd]
brw-r----- 1 dad  cdrom 22,  0 Sep 17  2007 /dev/hdc
brw-r----- 1 root cdrom 22, 64 Sep 17  2007 /dev/hdd
при чем, интересно, пользователю дает только 1 :(
Это баг.
А для исправления, почему бы 
не поправить в /etc/security/console.perms
-<console>  0640 <cdrom>      0640 root.cdrom
+<console>  0660 <cdrom>      0660 root.cdrom

Ведь честному сидирому запись не повредит,
а не частному (cd/dvd writer) - нужна позарез!

Comment 1 viy 2007-09-18 17:00:27 MSD

наблюдал на свежем Desktop 4.0

Comment 2 Dmitry V. Levin 2008-02-15 21:17:34 MSK

(In reply to comment #0)
> broken permissions on cdrws:
> pam0_console полагается на какое-то устаревшее поведение udev.

Конфигурация pam0_console последний раз правилась, когда udev ещё не было.
Надо её привести в соответствие с udev'ом.

> pam0_console-0.99.6.3-alt2
> Имеем два пишущих привода:
> /dev/hdd:
>  Model=SONY DVD RW AW-G170A, FwRev=1.71, SerialNo=
> 
> /dev/hdc:
>  Model=TSSTcorp CDW/DVD SH-M522C, FwRev=TS03, SerialNo=
> 
> оба пишущие.
> 
> имеем симлинки: (автосозданы)
> l /dev/cd* /dev/dvd*
> lrwxrwxrwx 1 root root 3 Sep 17  2007 /dev/cdrom -> hdc
> lrwxrwxrwx 1 root root 3 Sep 17  2007 /dev/dvd -> hdc
> 
> pam0_console пихает их в группу cdrom:
> l /dev/hd[cd]
> brw-r----- 1 dad  cdrom 22,  0 Sep 17  2007 /dev/hdc
> brw-r----- 1 root cdrom 22, 64 Sep 17  2007 /dev/hdd
> при чем, интересно, пользователю дает только 1 :(
> Это баг.

Что, по вашему, здесь неправильно?

> А для исправления, почему бы 
> не поправить в /etc/security/console.perms
> -<console>  0640 <cdrom>      0640 root.cdrom
> +<console>  0660 <cdrom>      0660 root.cdrom
> 
> Ведь честному сидирому запись не повредит,
> а не частному (cd/dvd writer) - нужна позарез!

Зачем группе cdrom давать право на запись в устройство?

Comment 3 Dmitry V. Levin 2008-02-18 02:35:53 MSK

(In reply to comment #2)
> (In reply to comment #0)
> > broken permissions on cdrws:
> > pam0_console полагается на какое-то устаревшее поведение udev.
> 
> Конфигурация pam0_console последний раз правилась, когда udev ещё не было.
> Надо её привести в соответствие с udev'ом.

Сейчас я готовлю обновление pam'а, pam-redhat-0.80-alt-pam_console-config.patch
опять полностью отъехал, так что самое время синхронизироваться, если это
необходимо.

Comment 4 Dmitry V. Levin 2008-02-20 02:57:56 MSK

Нет реакции - нет проблемы.

Comment 5 Michael Shigorin 2008-02-20 13:43:48 MSK

У led@ были некоторые соображения, помнится...

Comment 6 led 2008-02-20 20:15:06 MSK

(In reply to comment #5)
> У led@ были некоторые соображения, помнится...

Это когда до офиса доберусь, посмотрю что я там в udev-правилах правил.
AFAIK что-то на предмет того, чтобы DVD-ROM всегда выставлялся в 640 и группу 
cdrom, а DVD-RW - в 660 и группу cdwriter

Comment 7 viy 2008-02-21 13:23:34 MSK

ldv> Нет реакции - нет проблемы.

Гм. у меня был завал + проблемы с почтовым ящиком, 
поэтому и не смог среагировать вовремя.

А если я умру или тяжело заболею, разве это повод, чтобы закрывать  баг?
Как математик и платоник, я верю, что баг -
права 644 на cdrw/dvdrw вместо 664 - 
таки обьективно существует :)

так что, пусть будет REOPEN, все-таки вдруг кто починит ...

Comment 8 Michael A. Kangin 2008-07-10 09:52:59 MSD

(In reply to comment #2)


> > pam0_console пихает их в группу cdrom:
> > l /dev/hd[cd]
> > brw-r----- 1 dad  cdrom 22,  0 Sep 17  2007 /dev/hdc
> > brw-r----- 1 root cdrom 22, 64 Sep 17  2007 /dev/hdd
> > при чем, интересно, пользователю дает только 1 :(
> > Это баг.
> 
> Что, по вашему, здесь неправильно?
> 
> > А для исправления, почему бы 
> > не поправить в /etc/security/console.perms
> > -<console>  0640 <cdrom>      0640 root.cdrom
> > +<console>  0660 <cdrom>      0660 root.cdrom
> > 
> > Ведь честному сидирому запись не повредит,
> > а не частному (cd/dvd writer) - нужна позарез!
> 
> Зачем группе cdrom давать право на запись в устройство?
 
В системе может быть залогинено больше одного пользователя. Владельцем устройства становится только один. Остальные диски писать не могут.

Comment 9 Dmitriy Khanzhin 2008-07-13 20:07:38 MSD

Я тоже натыкался на эту граблю, сейчас посмотрел- с нынешним pam0_console, udev и
ядром 2.6.24 бага вроде как рассосалась, но с ядром 2.6.18- присутствует.
А вот когда удалил из /etc/security/console.perms.d/50-default.perms строчки,
содержащие <cdrom> и <burner>, бага пропала и на ядре 2.6.18.