[linux-l] CUPS und Druckerinstallation...

Volker Grabsch vog at notjusthosting.com
Sa Jan 6 22:42:06 CET 2007 

On Sat, Jan 06, 2007 at 01:47:58PM +0100, Norman Steinbach wrote:
> Volker Grabsch wrote:
> >> sudo adduser cupsys shadow
> >> Durch das Hinzufügen des Users "cupsys" zur Gruppe "shadow" wird dem
> >> Cups-Daemon (welcher als User "cupsys" läuft) gestattet auf die Datei
> >> /etc/shadow zuzugreifen, um eine Benutzerauthentifizierung durchführen
> >> zu können.
> > Das ist ja richtig übel. Wieso macht CUPS so'n Blödsinn? Man kann auch
> > so authentifizieren. Und wozu gibt es PAM?
> Hmm, das ist allerdings seltsam. Eine mögliche Sicherheitslücke in der
> Architektur von Ubuntu? Wie finde ich die Informationen, um es auf das
> Debian-Standardverfahren umzuwandeln, so dass diese Abstrusität nicht
> mehr da ist? Oder besteht dann die Gefahr, dass noch mehr in meinem
> System nicht funktioniert?

Da mir nicht klar ist, wo diese Absurdität in Ubuntu überhaupt her
kommt, kann ich dir leider auch keine Tipps geben. CUPS an sich
funktioniert auch ohne die Rechte der shadow-Gruppe. Ich habe keine
Ahnung, was du Ubuntu-Leute damit veranstaltet haben, dass es plötzlich
die /etc/shadow selbst auslesen will. Das ist völlig sinnlos.

Ich habe mittlerweile auf einem Debian/Woody, Debian/Sarge und einen
Debian/Etch - Rechner nachgeschaut, auf denen jeweils CUPS problemlos
läuft. Zwar gibt es dort keine Mitglieder der Gruppe shaodw, aber mir
ist aufgefallen, dass überall der CUPS-Daemon als root läuft. Das heißt,
es könnte wirklich sein, dass CUPS diesen Schwachsinn verzapft, aber
erst in Ubuntu fällt das auf, weil dort CUPS unter einem extra User
"cupsys" läuft, statt als "root".

Ubuntu scheint also alles richtig gemacht zu haben, sogar besser als
Debian. Naja, bis auf die Tatsache, dass sie verschlampt haben, den
User cupsys gleich beim Installieren in die shadow-Gruppe einzutragen.

Die eigentliche Kuriosität liegt auf Seiten von CUPS. Der baut Mist.

Erinnert mich ein bisschen das das "Capability-Problem" von Bind. Auch
hier eine total schwachsinnige (aber per Default aktivierte) Eigenart,
die einem erst in einem VServer-System arg auf die Füße fällt.

Böse, dreckige Hacks fallen immer irgendwem auf die Füße. Leider
meistens nicht denen, die's verzapft haben. (Sonst hätten sie's ja
gleich ordentlich gemacht.) Ich dachte bisher, die "gängigen Tools"
bis auf bind9 hätten UNIX verstanden und wären sauber programmiert.
Nun reiht sich also auch CUPS in diese Runde ein.


Viele Grüße,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR

Mehr Informationen über die Mailingliste linux-l