Linux PPP HOWTO: Uporaba PPP-ja in root pravice

11. Uporaba PPP-ja in root pravice

Ker mora PPP postaviti mrežne naprave, spremeniti usmerjevalno tabelo v jedru in tako naprej, potrebuje pravice administratorja (root).

Če bodo PPP povezavo vzpostavljali tudi drugi uporabniki, bi moral biti program pppd ,,setuid root``:


-rwsr-xr-x   1 root     root        95225 Jul 11 00:27 /usr/sbin/pppd

Če /usr/sbin/pppd ni tako nastavljen, potem kot root vnesite ukaz:


chmod u+s /usr/sbin/pppd

To povzroči, da bo pppd imel administratorske pravice, četudi ga bo pognal navaden uporabnik. To dovoljuje navadnemu uporabniku, da zažene pppd s potrebnimi pravicami za nastavitev omrežnih vmesnikov in usmerjevalne tabele v jedru.

Programi, ki so pognani ,set uid root` so potencialne varnostne luknje in morali bi biti zelo previdni pri nastavljanju programov ,suid root`. Nekaj programov (med njimi pppd) je bilo skrbno napisanih, da bi zmanjšali nevarnost takega poganjanja, zato bi morali biti s tem varni (toda brez kakršnegakoli jamstva).

Glede na to kako hočete, da sistem deluje - natančneje če hočete, da bo lahko KATERIKOLI uporabnik vzpostavil PPP povezavo, bi morali nastaviti skripti ppp-on/off na javno branje/izvrševanje. (To je verjetno v redu, če vaš PC uporabljate SAMO vi).

Če pa tega NOČETE (če imajo naprimer vaši otroci dostop do računalnika in nočete, da bi se povezali z Internetom brez vaše vednosti), boste morali narediti skupino PPP (kot root uredite datoteko /etc/group) in:

Naredite pppd ,suid root`, last uporabnika root in skupine PPP, z ,ostalimi` pravicami praznimi. Datoteka bi morala izgledati takole:
-rwsr-x--- 1 root PPP 95225 Jul 11 00:27 /usr/sbin/pppd
Naredite skripti ppp-on/off last uporabnika root in skupine PPP

Naredite skripti ppp-on/off berljivi/izvršljivi za skupino PPP


  -rwxr-x---   1 root     PPP           587 Mar 14  1995 /usr/sbin/ppp-on
  -rwxr-x---   1 root     PPP           631 Mar 14  1995 /usr/sbin/ppp-off

Naredite ostale pravice za ppp-on/off ,prazne`.
dodajte uporabnike, ki bodo uporabljali PPP, v skupino PPP v datoteki /etc/group

Četudi to naredite, navadni uporabniki še vedno ne bodo mogli programsko prekiniti povezave! Poganjanje ppp-off skripte zahteva pravice root-a. Kljub temu lahko enostavno izključijo modem ali telefonski kabel.

Alternativna (in boljša) metoda je uporaba programa sudo. Ta ponuja odlično varnost in vam omogoča urediti stvari tako, da lahko vsak (pooblaščen) uporabnik vzpostavi/prekine ppp povezavo z uporabo skript. Uporaba programa sudo bo dovolila pooblaščenemu uporabniku vzpostavitev/prekinitev PPP povezave čisto in varno.