Gentoo: Installazione PC Server (HQPlayer, LMS ) e PC Player (NAA, Mpd, Squeezelite-R2)

[UnixMan]

Il problema di init.d che richiede il root credevo fosse superato e che il daemon venisse eseguito come squeezelite:squeezelite

ehm... mi pare che hai frainteso alcune cose.

L'init script deve essere eseguito dall'utente root proprio affinché sia possibile che il daemon sia eseguito da un utente diverso!

Soltanto root ha il privilegio di "impersonare" un utente diverso da sé stesso (può impersonare qualsiasi utente).

Per ovvi motivi nessun utente normale può farlo. Quanto meno non senza fornire le credenziali di autenticazione dell'utente che vuole impersonare (oppure utilizzare altri meccanismi che consentano di gestire adeguatamente il controllo degli accessi, i problemi di sicurezza, ecc).

In effetti, esiste anche un meccanismo che consente di eseguire direttamente un file creando un processo che appartiene all'utente e/o al gruppo proprietari del file anziché all'utente che lo ha eseguito (cioè che consente di "impersonare" tale utente/gruppo), senza richiedere autenticazione: quello del SUID/SGID.

(che è poi il meccanismo di base su cui si basano praticamente tutti gli altri, ed è utilizzato ad es. anche da "su", "sudo", ecc).

Solo che c'è un problema: oltre a porre notevoli e pressanti problemi di sicurezza, l'uso del bit di suid/sgid comporta che ciò avvenga sempre e per chiunque (qualsiasi utente) abbia il permesso di eseguire quel file. Cosa che spesso non è affatto ciò che si vorrebbe.

Controllare l'avvio o l'arresto di un servizio di sistema è una operazione che non è - e non deve essere - di pertinenza di un utente normale, ma solo ed esclusivamente dell'amministratore del sistema (cioè root).

L'errore (probabilmente qualche permesso) parrebbe essere nel meccanismo con cui init.d legge da conf.d la riga di comando in ${SL_OPTS}, meccanismo che non ho capito dov'è...

non ho visto il file in questione, ma presumo che il meccanismo sia sempre il solito... viene fatto il "source" del file di configurazione.

Comando "source <pathname>" o ". <pathname>" (notare lo spazio dopo il '.'). Tanto per capirci, è analogo ad un "include": a tutti gli effetti, è come se il contenuto del file venisse "copiato" - in quel punto - all'interno del file che esegue la chiamata.

[marcoc1712]

Sinceramente non so....

l´utente squeezelite non ha i permessi sulla modifica dei file....
solo root

il comando che dai tu fa quello... ma nell´ uso comune non ha senso...perché squeezelite dovrebbe modificare il file di configurazione?


io non ho problemi all´avvio o se cambio impostazione nel file di configurazione e do il restart...

lo stop non l ho mai provato sinceramente...

Vero, ma dato che il demone è lanciato come squeeelite, probabilmente deve poterlo leggere, proverò a restituire la porprietà a root, ma mantenere la lettura a word, sto attivando falcon e le 'piccole' differenze con debian sono tante, mi scontrerò con tantissimi problemi di questo tipo, temo.

[antonellocaroli]

Vero, ma dato che il demone è lanciato come squeeelite, probabilmente deve poterlo leggere, proverò a restituire la porprietà a root, ma mantenere la lettura a word, sto attivando falcon e le 'piccole' differenze con debian sono tante, mi scontrerò con tantissimi problemi di questo tipo, temo.

mhhhh
chi lancia squeezelite-R2 é in effetti l´init script...leggendo la configurazione nel file, appunto, di configurazione, associando l´utente "squeezelite" al demone....

presumo che devi risolvere come hai fatto con Debian...usando l´utente root (???)

[UnixMan]

Per quanto riguarda il file di configurazione, direi che la soluzione più corretta sia quella di dare all'utente e/o al gruppo "squeezelite" i permessi di lettura su tale file...

[antonellocaroli]

Per quanto riguarda il file di configurazione, direi che la soluzione più corretta sia quella di dare all'utente e/o al gruppo "squeezelite" i permessi di lettura su tale file...

Per quale motivo Paolo?

[marcoc1712]

mhhhh
chi lancia squeezelite-R2 é in effetti l´init script...leggendo la configurazione nel file, appunto, di configurazione, associando l´utente "squeezelite" al demone....

presumo che devi risolvere come hai fatto con Debian...usando l´utente root (???)

Falcon non usa root, nenache in debian. Solo un utente specifico con pochiismi privilegi e solo per i comandi cui deve accedere, usando visudo. Ho fatto lo stesso qui, ma qui si aggiunge squeezelite definito dall'ebuild, che deve avere proprietà (o privilegi di scrittura) es. sui files di log, il pid, ...

Ciò comporta che non basta che i files siano di proprietà root:falcon 664, quelli creati dal demone devono esserer squeezelite:squeezelite 664, quindi falcon lo devo inserie anche in squeezelite e magari devo decidere in modo più granulare quali files devono avere 664 o solo 660.

A meno che qualcuno non veda soluzioni più lineari...

[UnixMan]

Ciò comporta che non basta che i files siano di proprietà root:falcon 664, quelli creati dal demone devono esserer squeezelite:squeezelite 664, quindi falcon lo devo inserie anche in squeezelite e magari devo decidere in modo più granulare quali files devono avere 664 o solo 660.

A meno che qualcuno non veda soluzioni più lineari...

in linea di principio, i metodi standard per gestire problemi del genere sono due:

1) qualora (come in questo caso) si usino i "gruppi personali" per ciascun utente, inserendo l'utente 'A' nel gruppo dell'utente 'B' e/o viceversa, a seconda delle necessità.

2) utilizzando un gruppo comune a tutti gli utenti coinvolti. Ad es. potresti creare un gruppo "squeezegrp" ed assegnare quel gruppo tanto a squeezelite quanto a falcon (cioè, a meno di non averne bisogno per altri motivi, non crei un gruppo squeezelite ed un gruppo falcon; crei soltanto il gruppo "squeezegrp", che assegni come gruppo primario tanto all'utente "squeezelite" quanto a quello "falcon"). Dopo di che anche i vari files dovranno avere come proprietari squeezelite:squeezegrp oppure falcon:squeezegrp.

In entrambi i casi, assegnando opportunamente i permessi "di gruppo" (read, write ed "execute", a seconda delle necessità) a files e directories, il gioco è fatto.

Però, nel caso specifico, dato che Falcon è legato a filo doppio con squeezelite, IMHO la cosa più semplice e lineare potrebbe essere quella di usare il medesimo utente ed il medesimo gruppo per entrambi. Nella fattispecie, utilizzare squeezelite:squeezelite anche per Falcon.

[marcoc1712]

Però, nel caso specifico, dato che Falcon è legato a filo doppio con squeezelite, IMHO la cosa più semplice e lineare potrebbe essere quella di usare il medesimo utente ed il medesimo gruppo per entrambi. Nella fattispecie, utilizzare squeezelite:squeezelite anche per Falcon.

Mi è chiaro, ma dovrei essere io ad adeguarmi, ovviamente, su ogni sistema diverso, con due utenti distinti lo evito e riesco a limitare le cose che può fare falcon al minimo indispensabile, siamo in LAN e non è vitale, ma...

[UnixMan]

Mi è chiaro, ma dovrei essere io ad adeguarmi, ovviamente, su ogni sistema diverso,

???

non capisco quale sia il problema se anziché usare l'utente "falcon:falcon" usi "squeezelite:squeezelite".

[marcoc1712]

ehm... mi pare che hai frainteso alcune cose.

L'init script deve essere eseguito dall'utente root proprio affinché sia possibile che il daemon sia eseguito da un utente diverso!

Soltanto root ha il privilegio di "impersonare" un utente diverso da sé stesso (può impersonare qualsiasi utente).

...come sempre...

Ed infatti è così, NON tocco minimamente il file init.d, uso visudo affinchè lo possa usare - per com'è o sarà - anche falcon, passando da sudo.
Non capisco l'obiezione...

Per ovvi motivi nessun utente normale può farlo. Quanto meno non senza fornire le credenziali di autenticazione dell'utente che vuole impersonare (oppure utilizzare altri meccanismi che consentano di gestire adeguatamente il controllo degli accessi, i problemi di sicurezza, ecc)

Non è propro così... un utente 'normale' può - con sudo - diventare root e quindi anche un secondo utente (sudo -u nuovoutente). Se gli è consenitito farlo senza fornire la password, allora non viene richiesta.

In effetti, esiste anche un meccanismo che consente di eseguire direttamente un file creando un processo che appartiene all'utente e/o al gruppo proprietari del file anziché all'utente che lo ha eseguito (cioè che consente di "impersonare" tale utente/gruppo), senza richiedere autenticazione: quello del SUID/SGID.

(che è poi il meccanismo di base su cui si basano praticamente tutti gli altri, ed è utilizzato ad es. anche da "su", "sudo", ecc).

Solo che c'è un problema: oltre a porre notevoli e pressanti problemi di sicurezza, l'uso del bit di suid/sgid comporta che ciò avvenga sempre e per chiunque (qualsiasi utente) abbia il permesso di eseguire quel file. Cosa che spesso non è affatto ciò che si vorrebbe.

? sudo -u nuovoutente comando?
v. sopra.

Controllare l'avvio o l'arresto di un servizio di sistema è una operazione che non è - e non deve essere - di pertinenza di un utente normale, ma solo ed esclusivamente dell'amministratore del sistema (cioè root).

? Se è abilitato ad assumere ruolo di SU per quello speciico comando, dove sta il problema? A cosa servirebbe sudoer allora?

Se ricordi abbiamo impostato insieme ESATTAMENTE questo meccanismo in debian, usando visudo, proprio per abilitare un utente diverso da root ad eseguire i soli comandi indispesabili.
Quali altre strade ci sono?

Non pubblicare start/stop/restart di squeezelite e nemmeno SHUTDOWN/REBOOT, non è un'opzione...

non ho visto il file in questione, ma presumo che il meccanismo sia sempre il solito... viene fatto il "source" del file di configurazione.

Comando "source <pathname>" o ". <pathname>" (notare lo spazio dopo il '.'). Tanto per capirci, è analogo ad un "include": a tutti gli effetti, è come se il contenuto del file venisse "copiato" - in quel punto - all'interno del file che esegue la chiamata

Non ne ho idea, è nascosto, di fatto usa una variabile impostata la ed usata qui. Il fatto è qunado viene fatto, se da init.d o dal comando chiamato con la variabile come argomanto ed il ruolo utente da assumere. Per come si comporta, direi il secondo modo, dato che assegnando i privilegi di lettura funziona.