[linux-l] CUPS und Druckerinstallation...
Norman Steinbach
steinbach.norman at web.de
Sa Jan 6 23:31:41 CET 2007
Volker Grabsch wrote:
>>>> sudo adduser cupsys shadow
>>> Das ist ja richtig übel. Wieso macht CUPS so'n Blödsinn? Man kann auch
>>> so authentifizieren. Und wozu gibt es PAM?
>> Hmm, das ist allerdings seltsam. Eine mögliche Sicherheitslücke in der
>> Architektur von Ubuntu? Wie finde ich die Informationen, um es auf das
>> Debian-Standardverfahren umzuwandeln, so dass diese Abstrusität nicht
>> mehr da ist? Oder besteht dann die Gefahr, dass noch mehr in meinem
>> System nicht funktioniert?
> Da mir nicht klar ist, wo diese Absurdität in Ubuntu überhaupt her
> kommt, kann ich dir leider auch keine Tipps geben. CUPS an sich
> funktioniert auch ohne die Rechte der shadow-Gruppe. Ich habe keine
> Ahnung, was du Ubuntu-Leute damit veranstaltet haben, dass es plötzlich
> die /etc/shadow selbst auslesen will. Das ist völlig sinnlos.
> Ich habe mittlerweile auf einem Debian/Woody, Debian/Sarge und einen
> Debian/Etch - Rechner nachgeschaut, auf denen jeweils CUPS problemlos
> läuft. Zwar gibt es dort keine Mitglieder der Gruppe shaodw, aber mir
> ist aufgefallen, dass überall der CUPS-Daemon als root läuft. Das heißt,
> es könnte wirklich sein, dass CUPS diesen Schwachsinn verzapft, aber
> erst in Ubuntu fällt das auf, weil dort CUPS unter einem extra User
> "cupsys" läuft, statt als "root".
> Ubuntu scheint also alles richtig gemacht zu haben, sogar besser als
> Debian. Naja, bis auf die Tatsache, dass sie verschlampt haben, den
> User cupsys gleich beim Installieren in die shadow-Gruppe einzutragen.
> Die eigentliche Kuriosität liegt auf Seiten von CUPS. Der baut Mist.
Du meinst, weil CUPS unter ubuntu zum ersten mal nicht mit root-rechten
läuft fällt erst jetzt auf, dass er nur mit lesezugriff auf shadow
authentifiziert? Das ist gelinde gesagt ebenfalls seltsam...ist noch
niemand vorher auf die Idee gekommen, das Drucksystem nicht mit
root-Rechten laufen zu lassen?
Und, viel wichtiger: Wie "gefährlich" ist die Tatsache, dass CUPS auf
/etc/shadow Zugriff hat?
Viele Grüße,
Norman
Mehr Informationen über die Mailingliste linux-l