forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Выпуск механизма управления теневыми паролями tcb 1.2, opennews (??), 12-Янв-21, (0) [смотреть все]

Самый лучший механизм , Аноним (1), 12:35 , 12-Янв-21, (1) +2 //

оно и видно 2 человека скачало , кек (?), 13:13 , 12-Янв-21, (15) +6 //

Поколение лайков Вы вообще пытались головой подумать -- кому именно надо скач, Michael Shigorin (ok), 14:45 , 13-Янв-21, (95) +5 //

ХАХАХА, вы расскажите тогда что они в дистрибутивах по умолчанию делают тогда И, VITAlya (?), 22:23 , 29-Янв-21, (112)

Самый глупый аноним , КО (?), 14:40 , 12-Янв-21, (25) +2 //

Самый глупый это Fractal Хотя он не аноним , Аноним (43), 17:24 , 12-Янв-21, (43) +3

а tcb не имеет такой возможности совсем Как он будет проверять хэши тогда при л, dimcha (??), 12:41 , 12-Янв-21, (3) //

В случае tcb можно запускать обработчик под тем пользователем, чей пароль мы хот, kmeaw (?), 12:49 , 12-Янв-21, (7) +3 //

Сказать-то ничего не мешает, а вот получить - мешают недостаточные права доступа, Анонимный Аноним (?), 17:32 , 12-Янв-21, (46) +3

процесс запускается с правами пользователя, которого указал злоумешленник при э, aa (?), 07:42 , 13-Янв-21, (81)

Ооо это реально так Тогда да, смешно Получается можно заставить его менять uid, Анонимленьлогиниться (?), 11:09 , 13-Янв-21, (83)

Для понимания какие пользователи существуют достаточно грепнуть etc passwd, к, Аноним (91), 12:50 , 13-Янв-21, (91)

Речь про получение этого удаленно, не имея аккаунта , Анонимленьлогиниться (?), 15:30 , 14-Янв-21, (104)

Как ты запустишь из-под себя процесс под uid другого пользователя без поднятия с, Аноним (92), 12:53 , 13-Янв-21, (92) +1

дак вот тут и предлагают - надо попробовать авторизаваться под любым другим поль, aa (?), 14:39 , 13-Янв-21, (94)

Да, при аутентификации произвольного пользователя tcb не помогает Он помогает п, solardiz (ok), 15:43 , 13-Янв-21, (98) +1

А как с пингами решили От обычного пользователя не попинговать , йцук (?), 12:03 , 16-Янв-21, (106)

Добавили поддержку ограниченных ICMP сокетов в ядро В upstream, как я помню, на, solardiz (ok), 17:17 , 16-Янв-21, (107)

да, можно перебирать пользователей - но это проще обнаружить чем скаченый весь s, fi (ok), 17:17 , 13-Янв-21, (99)
Например, настройки системы, запрещающие логин рута Остаётся только sudo, но дл, Аноним (100), 17:37 , 13-Янв-21, (100) +1

PAM и NSS модули , x3who (?), 12:52 , 12-Янв-21, (9)
Написано же для системные пользователи в отдельной группе с нужными правами, Аноним (21), 14:01 , 12-Янв-21, (21)
У группы auth есть доступ только на чтение , Аноним (27), 14:43 , 12-Янв-21, (27) +2

для этого понадобилось 10 лет новых 2010-2021 , Гимли (?), 12:41 , 12-Янв-21, (4) –7 //

Очень скоро, уже в этом столетии, разработчики откроют для себя возможность хран, x3who (?), 12:53 , 12-Янв-21, (10) –9 //

Использовать клиент-серверную СУБД для хранения паролей локалхоста нерационально, Аноним (23), 14:28 , 12-Янв-21, (23) +2 //

А что, в макоси так и сделано И, в принципе, это рационально в плане масштабиру, Аноним (27), 14:45 , 12-Янв-21, (28) –3

Представьте себе, файл etc shadow - тоже база этих самых данных Сюрприз, да , Анонимный Аноним (?), 18:08 , 12-Янв-21, (52) +3 //

Ненене База данных - это чтобы обязательно в файлах на диске хранилась каша, в , YetAnotherOnanym (ok), 19:51 , 12-Янв-21, (55) +4

Твой etc shadow станет полной тыквой при одном бэд секторе под ним И ничем теб, Аноним (-), 01:48 , 13-Янв-21, (70) –3

Много что станет, и что Вам поименно перечислить файлы, бэд сектор в которых н, Анонимленьлогиниться (?), 11:14 , 13-Янв-21, (84) +3
Отличная причина сменить пароли , охохо (?), 12:36 , 13-Янв-21, (88)

текстовый редактор, hex редактор - тоже специальные программы , охохо (?), 12:35 , 13-Янв-21, (87) +1

Ну ты прям глаза мне раскрыл Кроме поддержки SQL некоторые СУБД предоставляют г, x3who (?), 14:41 , 17-Янв-21, (110)

MS еще в прошлом веке вроде открыл AD это называется И говорят что их недавно , Аноним (-), 01:46 , 13-Янв-21, (69) //

AD всего лишь проприетарный LDAP с расширениями Зато пд юниксами этих ваших dir, Аноним (82), 10:04 , 13-Янв-21, (82) +2

Нет, это было в первой же версии в 2001 году Именно потому что всё главное уже , solardiz (ok), 16:58 , 12-Янв-21, (38) +6 //

Был не прав, прошу прощения, и благодарю за развёрнутый и внятный ответ , Гимли (?), 19:03 , 12-Янв-21, (54) +1

Сомнительно, у пользователя не должно быть прав на запись в системные каталоги , Аноним (5), 12:48 , 12-Янв-21, (5) –4 //

Хотя по поводу blowfish я в курсе что там только недавно от md5 md4 отошли, лу, Аноним (5), 12:50 , 12-Янв-21, (8) –2 //

Что тут еще за эксперты в крипто А какие собственно атаки известны на blowfish , Аноним (-), 01:39 , 13-Янв-21, (66) +1 //

Кто-то и 3des до последнего использовал И md4 хватит всем для паролей Зависимо, Аноним (5), 02:20 , 13-Янв-21, (71) –1

Их и нету Из текста новости каталог etc tcb принадлежит root shadow и имеет п, solardiz (ok), 17:50 , 12-Янв-21, (49) +5 //

А разве blowfish не использует массивы для пермутации И если да - у этого на пр, Аноним (-), 01:42 , 13-Янв-21, (67) //

Насчет cache timing, да, есть такое Вот только в bcrypt эта же особенность суще, solardiz (ok), 02:20 , 13-Янв-21, (72) +1

Сомнительное нововведение Если в случае etc shadow юзер не имеет доступа к св, x3who (?), 12:48 , 12-Янв-21, (6) –5 //

Иерархия etc tcb доступна на чтение только группе shadow Что бы поменять или п, Аноним (11), 12:56 , 12-Янв-21, (11) +2 //

etc tcb user и etc tcb user shadow - -rw-r----- user auth, x3who (?), 13:00 , 12-Янв-21, (13) –2 //

Внутрь etc tcb вас не пустит без группы shadow , Аноним (11), 13:16 , 12-Янв-21, (16) +2

Да, пропустил этот момент, x3who (?), 13:56 , 12-Янв-21, (20) +1

Да это бред Чтобы запустить процесс от имени user shadow все равно нужны манипул, gogo (?), 16:55 , 12-Янв-21, (36) –2

бинарь с sgid shadow, не рут, анон (?), 21:19 , 12-Янв-21, (58) +2

В etc tcb не пустит, а в etc tcb USERNAME пустит , Катафалкер (?), 16:55 , 12-Янв-21, (37) –3

Нет, и в etc tcb USERNAME тоже не пустит , solardiz (ok), 17:17 , 12-Янв-21, (40) +3

Как без NIS-то Я пользовался , lockywolf (ok), 12:56 , 12-Янв-21, (12) //

именно НИС yp ну теперь не будет и хорошо , mos87 (ok), 13:27 , 12-Янв-21, (18) +1

Файл shadow от обычного пользователя прочитать невозможно То есть теперь любая , Корец (?), 13:13 , 12-Янв-21, (14) –2 //

Нет Нужен ещё баг или плохая настройка, которая даст пользователю права группы , pda (?), 14:11 , 12-Янв-21, (22) +2

То есть теперь любая программа получает доступ к файлу пароля текущего пользоват, Аноним (17), 13:19 , 12-Янв-21, (17) –2 //

Нет Из текста новости каталог etc tcb принадлежит root shadow и имеет права , solardiz (ok), 17:34 , 12-Янв-21, (48) +2

Что-то список на https repology org project tcb versions напоминает мне список, flkghdfgklh (?), 13:30 , 12-Янв-21, (19) //

По ссылкам не ходим принципиально , Аноним (27), 14:51 , 12-Янв-21, (29) //

Ты прочитало, что я написал Дело не в Альте Оно и в Магеи, и в PCLinuxOS, и в , flkghdfgklh (?), 16:21 , 12-Янв-21, (34) –1 //

Это логичная теория, но она ошибочна tcb в Owl и ALT с 2001, а в Mandriva с 200, solardiz (ok), 16:35 , 12-Янв-21, (35) +1

Забавно Но реально выглядит так, словно из Мандрейка пришлоПросто большинство ме, flkghdfgklh (?), 18:04 , 12-Янв-21, (51) –1

Наличие в репозитории ROSA не означает, что он используется по умолчанию, по умо, mikhailnov (ok), 02:25 , 13-Янв-21, (74) +2

Походу угнали tcb, давайте доверяйте пароли, КО (?), 14:40 , 12-Янв-21, (26) –2
получается файл с паролем можно будет переписать незаметно для пользователя и за, parad (ok), 14:59 , 12-Янв-21, (30) –1 //

Для этого всё и делается То в системде появятся носимые пароли на флэшке, то во, Аноним (32), 15:37 , 12-Янв-21, (32) –2
Нет Из текста новости каталог etc tcb принадлежит root shadow и имеет права , solardiz (ok), 17:33 , 12-Янв-21, (47) +2

Г-н не подумайте плохого Ши - мои поздравления Альт откинул конкурентов, таких, Аноним (-), 15:05 , 12-Янв-21, (31) –4 //

BSDшники уже в курсе, чем пользуются Или очередная инсайдерская опеннетная инфа, Аноним (33), 16:17 , 12-Янв-21, (33)
Эээ а я-то тут при чём, разве что как юзер Глянул авторов коммитов в альтов, Michael Shigorin (ok), 07:27 , 13-Янв-21, (78) +1 //

Важным свойством control является то, что установленные настройки сохраняются пр, Аноним (111), 18:00 , 20-Янв-21, (111)

Выходит с tcb любой процесс пользователя может сменить его пароль, даже JS скрип, Аноним (39), 17:16 , 12-Янв-21, (39) –4 //

Пользователь Вася не зайдет в свою систему, зато крекер Вова, сменивший пароль п, Аноним (39), 17:22 , 12-Янв-21, (42) –3 //

Нет Из текста новости каталог etc tcb принадлежит root shadow и имеет права , solardiz (ok), 17:29 , 12-Янв-21, (45) +1 //

Не занимайся ерундой Человек не способный прочитать текст новости твой коммента, winorun (?), 18:02 , 12-Янв-21, (50) +2
Не совсем верно, были баги когда таки имел А там еще модное апи какое-то для до, Аноним (-), 01:35 , 13-Янв-21, (65) +1

Эта фича сохраняется и при использовании etc tcb , solardiz (ok), 02:37 , 13-Янв-21, (76) +1

Надо смотреть реализацию, действительноли у пользователей нет по умолчанию групп, Аноним (89), 12:36 , 13-Янв-21, (89)

Можно, конечно, и её давать при заведении -- но это уж расстараться надо CODE , Michael Shigorin (ok), 14:52 , 13-Янв-21, (96) +1

Не очевидно, откуда мне было знать вашу реализацию повышения привилегий до групп, Аноним (103), 08:29 , 14-Янв-21, (103)

Скрыто модератором, Аноним (41), 17:18 , 12-Янв-21, (41) –2
Скрыто модератором, Aytishnik.com (ok), 21:10 , 12-Янв-21, (57) –7 //

Скрыто модератором, Аноним (60), 21:53 , 12-Янв-21, (60) +2 //

Скрыто модератором, Аноним (63), 01:26 , 13-Янв-21, (63) –1 //

Скрыто модератором, mikhailnov (ok), 02:32 , 13-Янв-21, (75) +1

Скрыто модератором, Michael Shigorin (ok), 07:40 , 13-Янв-21, (80)

Скрыто модератором, mikhailnov (ok), 12:45 , 13-Янв-21, (90)

Скрыто модератором, Аноним (63), 01:29 , 13-Янв-21, (64) –2 //

Скрыто модератором, Michael Shigorin (ok), 07:33 , 13-Янв-21, (79)

Сколько не копался в исходниках и пакетах, так и не нашёл , Ne01eX (ok), 00:12 , 13-Янв-21, (61) //

Не нашел чего в чем , solardiz (ok), 02:21 , 13-Янв-21, (73) +2

Охренеть, лич-король собственной персоной Мешок костей , Аноним (63), 01:24 , 13-Янв-21, (62) //

Кстати, в ALT tcb уже давно в git https packages altlinux org en sisyphus srpm, solardiz (ok), 03:47 , 14-Янв-21, (102)

Граждане Храните аккаунты в сберегательном лдапе Если, конечно, он у вас есть , InuYasha (??), 11:16 , 13-Янв-21, (85) +1 //

Пора выйти из shadow - время хранить пароли тм , InuYasha (??), 11:18 , 13-Янв-21, (86)

В HP-UX 11 31 11 23 у нас оно использовалось, всегда думал, что это чисто особен, Mr. Sneer (?), 13:54 , 13-Янв-21, (93) +2 //

HP-UX действительно умеет размещать хеши по файлам в tcb и имеет схожие утилиты, solardiz (ok), 15:14 , 13-Янв-21, (97) +2 //

Спасибо, наконец-то уяснил для себя добавил на страничку http altlinux org tc, Michael Shigorin (ok), 00:04 , 14-Янв-21, (101)

Зачем , Аноним (105), 11:23 , 15-Янв-21, (105) +1 //

Для снижения опасности возможных уязвимостей в passwd 1 , chage 1 и программах , solardiz (ok), 17:26 , 16-Янв-21, (108) –1 //

Слишком много сказочных фраз, а по сути будет пердёж на месте с новыми дырами , Аноним (32), 23:09 , 16-Янв-21, (109)

Сообщения [Сортировка по времени | RSS]

42. "Выпуск механизма управления теневыми паролями tcb 1.2" –3 +/–

Сообщение от Аноним (39), 12-Янв-21, 17:22

> Выходит с tcb любой процесс пользователя может сменить его пароль, даже JS скрипт с бровзера. ;) И пользователь следующий раз в систему не зайдет :))))
Пользователь Вася не зайдет в свою систему, зато крекер Вова, сменивший пароль посредством вирусного JS скрипта который исполнился в бровзере, сразу получает удаленный доступ к аккаунту Васи с известным Вове паролем!

Ответить | Правка | Наверх | Cообщить модератору

45. "Выпуск механизма управления теневыми паролями tcb 1.2" +1 +/–

Сообщение от solardiz (ok), 12-Янв-21, 17:29

Нет. Из текста новости: каталог /etc/tcb принадлежит root:shadow и имеет права "drwx--x---". Пользователь не может поменять пароль не зная старого. Также, JavaScript в браузере не имеет прямого доступа к файлам пользователя.

Ответить | Правка | Наверх | Cообщить модератору

50. "Выпуск механизма управления теневыми паролями tcb 1.2" +2 +/–

Сообщение от winorun (?), 12-Янв-21, 18:02

Не занимайся ерундой. Человек не способный прочитать текст новости твой комментарий читать не будет.

Ответить | Правка | Наверх | Cообщить модератору

65. "Выпуск механизма управления теневыми паролями tcb 1.2" +1 +/–

Сообщение от Аноним (-), 13-Янв-21, 01:35

> JavaScript в браузере не имеет прямого доступа к файлам пользователя.
Не совсем верно, были баги когда таки имел. А там еще модное апи какое-то для доступа в ФС, так что новых багов для кражи файлов эти вебвредители явно добавят. В этом месте глухой permission deined для пользователя по поводу даже чтения /etc/shadow - фича.
А читануть хэш пароля и вгрузить его в кластер GPU атакующий таким макаром сможет? И хрен с ней с заменой тогда.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

76. "Выпуск механизма управления теневыми паролями tcb 1.2" +1 +/–

Сообщение от solardiz (ok), 13-Янв-21, 02:37

> В этом месте глухой permission deined для пользователя по поводу даже чтения /etc/shadow - фича.
Эта фича сохраняется и при использовании /etc/tcb.

Ответить | Правка | Наверх | Cообщить модератору

89. "Выпуск механизма управления теневыми паролями tcb 1.2" +/–

Сообщение от Аноним (89), 13-Янв-21, 12:36

> ограничившись их повышением до группы shadow) при запуске утилиты passwd. Например, параметры сохраняются в файле /etc/tcb/user/shadow, где каталог /etc/tcb принадлежит root:shadow и имеет права "drwx--x---"
Надо смотреть реализацию, действительноли у пользователей нет по умолчанию группы shadow, и пользователь получает группу shadow  только после ввода старого пароля, и только на процесс passwd.
grep shadow /etc/group
grep shadow /etc/gshadow
newgrp shadow
newgrp - shadow
...
А какие права у вас на
ls -l /bin/passwd
ls -l /usr/bin/newgrp
И вывод команды groups:
groups
passwd меняем пароль
groups

Ответить | Правка | Наверх | Cообщить модератору

96. "Выпуск механизма управления теневыми паролями tcb 1.2" +1 +/–

Сообщение от Michael Shigorin (ok), 13-Янв-21, 14:52

> Надо смотреть реализацию, действительноли у пользователей нет по умолчанию
> группы shadow
Можно, конечно, и её давать при заведении -- но это уж расстараться надо.
> и пользователь получает группу shadow  только после ввода старого пароля,
> и только на процесс passwd. [...] А какие права у вас на
> ls -l /bin/passwd
> ls -l /usr/bin/newgrp
$ ls -l /usr/bin/{passwd,newgrp}
-rwx------ 1 root root   98792 сен 22 10:54 /usr/bin/newgrp
-rwx--s--x 1 root shadow 18472 мар 29  2019 /usr/bin/passwd
# control passwd
tcb
# control newgrp
restricted
> И вывод команды groups:
> groups
> passwd меняем пароль
> groups
Очевидно, тот же, если список групп не изменялся параллельно чем-либо ещё.
Вы же правда различаете _инициализацию_ его при порождении процесса и _изменение_ во время его жизни? :)

Ответить | Правка | Наверх | Cообщить модератору

103. "Выпуск механизма управления теневыми паролями tcb 1.2" +/–

Сообщение от Аноним (103), 14-Янв-21, 08:29

>Очевидно, тот же, если список групп не изменялся параллельно чем-либо ещё.
> Вы же правда различаете _инициализацию_ его при порождении процесса и _изменение_ во время его жизни? :)
Не очевидно, откуда мне было знать вашу реализацию повышения привилегий до группы shadow при выполнении passwd?
Ваш вариант принят:
-rwx--s--x 1 root shadow 18472 мар 29  2019 /usr/bin/passwd
Но я честно подумал сначала о другом варианте, повышение привилегий как в newgrp, только после ввода старого пароля пользователя (и реализация могла сохранять права после завершения работы passwd), тогда passwd должен иметь s-бит на пользователя root. Ваш вариант требует s-бит на группу shadow и следовательно выглядит привлекательней.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	42. "Выпуск механизма управления теневыми паролями tcb 1.2"	–3 +/–
	Сообщение от Аноним (39), 12-Янв-21, 17:22
	> Выходит с tcb любой процесс пользователя может сменить его пароль, даже JS скрипт с бровзера. ;) И пользователь следующий раз в систему не зайдет :)))) Пользователь Вася не зайдет в свою систему, зато крекер Вова, сменивший пароль посредством вирусного JS скрипта который исполнился в бровзере, сразу получает удаленный доступ к аккаунту Васи с известным Вове паролем!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Выпуск механизма управления теневыми паролями tcb 1.2"	+1 +/–
	Сообщение от solardiz (ok), 12-Янв-21, 17:29
	Нет. Из текста новости: каталог /etc/tcb принадлежит root:shadow и имеет права "drwx--x---". Пользователь не может поменять пароль не зная старого. Также, JavaScript в браузере не имеет прямого доступа к файлам пользователя.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	50. "Выпуск механизма управления теневыми паролями tcb 1.2"	+2 +/–
	Сообщение от winorun (?), 12-Янв-21, 18:02
	Не занимайся ерундой. Человек не способный прочитать текст новости твой комментарий читать не будет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	65. "Выпуск механизма управления теневыми паролями tcb 1.2"	+1 +/–
	Сообщение от Аноним (-), 13-Янв-21, 01:35
	> JavaScript в браузере не имеет прямого доступа к файлам пользователя. Не совсем верно, были баги когда таки имел. А там еще модное апи какое-то для доступа в ФС, так что новых багов для кражи файлов эти вебвредители явно добавят. В этом месте глухой permission deined для пользователя по поводу даже чтения /etc/shadow - фича. А читануть хэш пароля и вгрузить его в кластер GPU атакующий таким макаром сможет? И хрен с ней с заменой тогда.
	Ответить \| Правка \| К родителю #45 \| Наверх \| Cообщить модератору


	76. "Выпуск механизма управления теневыми паролями tcb 1.2"	+1 +/–
	Сообщение от solardiz (ok), 13-Янв-21, 02:37
	> В этом месте глухой permission deined для пользователя по поводу даже чтения /etc/shadow - фича. Эта фича сохраняется и при использовании /etc/tcb.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	89. "Выпуск механизма управления теневыми паролями tcb 1.2"	+/–
	Сообщение от Аноним (89), 13-Янв-21, 12:36
	> ограничившись их повышением до группы shadow) при запуске утилиты passwd. Например, параметры сохраняются в файле /etc/tcb/user/shadow, где каталог /etc/tcb принадлежит root:shadow и имеет права "drwx--x---" Надо смотреть реализацию, действительноли у пользователей нет по умолчанию группы shadow, и пользователь получает группу shadow только после ввода старого пароля, и только на процесс passwd. grep shadow /etc/group grep shadow /etc/gshadow newgrp shadow newgrp - shadow ... А какие права у вас на ls -l /bin/passwd ls -l /usr/bin/newgrp И вывод команды groups: groups passwd меняем пароль groups
	Ответить \| Правка \| Наверх \| Cообщить модератору


	96. "Выпуск механизма управления теневыми паролями tcb 1.2"	+1 +/–
	Сообщение от Michael Shigorin (ok), 13-Янв-21, 14:52
	> Надо смотреть реализацию, действительноли у пользователей нет по умолчанию > группы shadow Можно, конечно, и её давать при заведении -- но это уж расстараться надо. > и пользователь получает группу shadow только после ввода старого пароля, > и только на процесс passwd. [...] А какие права у вас на > ls -l /bin/passwd > ls -l /usr/bin/newgrp $ ls -l /usr/bin/{passwd,newgrp} -rwx------ 1 root root 98792 сен 22 10:54 /usr/bin/newgrp -rwx--s--x 1 root shadow 18472 мар 29 2019 /usr/bin/passwd # control passwd tcb # control newgrp restricted > И вывод команды groups: > groups > passwd меняем пароль > groups Очевидно, тот же, если список групп не изменялся параллельно чем-либо ещё. Вы же правда различаете _инициализацию_ его при порождении процесса и _изменение_ во время его жизни? :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	103. "Выпуск механизма управления теневыми паролями tcb 1.2"	+/–
	Сообщение от Аноним (103), 14-Янв-21, 08:29
	>Очевидно, тот же, если список групп не изменялся параллельно чем-либо ещё. > Вы же правда различаете _инициализацию_ его при порождении процесса и _изменение_ во время его жизни? :) Не очевидно, откуда мне было знать вашу реализацию повышения привилегий до группы shadow при выполнении passwd? Ваш вариант принят: -rwx--s--x 1 root shadow 18472 мар 29 2019 /usr/bin/passwd Но я честно подумал сначала о другом варианте, повышение привилегий как в newgrp, только после ввода старого пароля пользователя (и реализация могла сохранять права после завершения работы passwd), тогда passwd должен иметь s-бит на пользователя root. Ваш вариант требует s-бит на группу shadow и следовательно выглядит привлекательней.
	Ответить \| Правка \| Наверх \| Cообщить модератору