DL
Size: a a a
2018 December 19
DL
пусть народ думает
AF
а гугл какой нибудь
openssl s_client -connect google.com:443МН
у нас есть, допустим, dhclient, который кроме как в /var/db/leases и /var/run ничего не пишет
в линуксе dhclient дергает ip/ifconfig , пишет в /etc/resolv.conf, на фре, наверное, тоже, поэтому ему нужен рут. А вот dhcpd root не нужен
AF
ну так рут не нужен может быть, если только есть какой то его симулянт типа того же вот капсикума или ещё чего, которая даст привелегии где нужно
DL
# openssl s_client -connect google.com:443
CONNECTED(00000003)
depth=1 C = US, O = Google Trust Services, CN = Google Internet Authority G3
verify error:num=20:unable to get local issuer certificate
---
Certificate chain
0 s:C = US, ST = California, L = Mountain View, O = Google LLC, CN = *.google.com
CONNECTED(00000003)
depth=1 C = US, O = Google Trust Services, CN = Google Internet Authority G3
verify error:num=20:unable to get local issuer certificate
---
Certificate chain
0 s:C = US, ST = California, L = Mountain View, O = Google LLC, CN = *.google.com
DL
с гугла тащит
МН
ну так рут не нужен может быть, если только есть какой то его симулянт типа того же вот капсикума или ещё чего, которая даст привелегии где нужно
DL
завтра посмотрю, чем сертификаты гугла отличаются от тех, на которых оно не работает
МН
он вон вкл, выкл, настраивает сетевые интерфейсы
МН
ну так рут не нужен может быть, если только есть какой то его симулянт типа того же вот капсикума или ещё чего, которая даст привелегии где нужно
вот как такое, как по ссылке, сделать без рута? я dhcp собирал, не смог придумать, как демона dhclient пускать без рута, пришлось от рута
AF
# openssl s_client -connect google.com:443
CONNECTED(00000003)
depth=1 C = US, O = Google Trust Services, CN = Google Internet Authority G3
verify error:num=20:unable to get local issuer certificate
---
Certificate chain
0 s:C = US, ST = California, L = Mountain View, O = Google LLC, CN = *.google.com
CONNECTED(00000003)
depth=1 C = US, O = Google Trust Services, CN = Google Internet Authority G3
verify error:num=20:unable to get local issuer certificate
---
Certificate chain
0 s:C = US, ST = California, L = Mountain View, O = Google LLC, CN = *.google.com
ну так у тебя поди руты не стоят ca_root_nss
DL
он вон вкл, выкл, настраивает сетевые интерфейсы
имеется ввиду список файлов для mac_bsdextended, в которые он может писать
DL
а там их не так уж и много
DL
/etc/resolv.conf, /var/run/dhcpclient.pid, /var/db/dhcp.leases
МН
/etc/resolv.conf, /var/run/dhcpclient.pid, /var/db/dhcp.leases
мак во фряхе еще не раскурил, пытался читать, с ходу не понял, но давно было. В Линуксе вопрос записи в /var/ решается тем, что директория /var/dhcpd принадлежит dhcpd:dhcpd, а вот сетевой интерфейс (ifconfig ... up) как без рута можно дергать?
МН
с помощью mac_bsdextended(4) что ли можно процессу, работающему от не root, разрешить запись в файл с валедельцем root:root ?
AF
с помошью всяких новомодных систем контроля доступа, которые не такие деревянные, что всё можно или нельзя, но соответственно утилиты тоже должны мочь, вот сейчас под фряхой народ начал шевелится в этом направлении
МН
без новомодных утилит через ACL можно, но так не делают обычно, т.к. сложно гарантировать корректность настройки ACL
МН
ща в systemd можно прямо в унит-файле сервиса задать capabilities :)