Siguiente: Certificados X.509, Anterior: Servicios, Subir: Configuración del sistema [Índice general][Índice]
Algunos programas necesitan ejecutarse con privilegios de administradora
(“root”), incluso cuando se ejecutan por usuarias sin privilegios. Un
ejemplo notable es el programa passwd
, que las usuarias ejecutan
para cambiar su contraseña, y que necesita acceso a los archivos
/etc/passwd y /etc/shadow—un acceso normalmente normalmente
restringido a la cuenta de administración, por razones de seguridad
obvias. Para solventarlo, estos ejecutables tienen una marca setuid de
“root”, lo que significa que siempre se ejecutan con los privilegios de
dicha cuenta (véase How Change Persona en The GNU C Library Reference
Manual, para más información sobre el mecanismo setuid).
El almacén en sí no puede contener programas setuid: sería un problema de seguridad puesto que cualquier usuaria del sistema puede escribir derivaciones que pueblen el almacén (véase El almacén). Por tanto, se usa un mecanismo diferente: en vez de cambiar el bit de setuid directamente en los archivos que se encuentran en el almacén, se permite que la administradora del sistema declare qué programas deberían tener setuid de root.
El campo setuid-programs
de una declaración operating-system
contiene una lista de expresiones-G que denotan nombres de programas que
tendrán setuid de root (véase Uso de la configuración del sistema). Por
ejemplo, el programa passwd
, que es parte del paquete Shadow,
puede designarse con esta expresión-G (véase Expresiones-G):
#~(string-append #$shadow "/bin/passwd")
Un conjunto predeterminado de programas con el bit setuid se define en la
variable %setuid-programs
del módulo (gnu system)
.
Una lista de expresiones-G que denotan programas comunes que se marcan con setuid de root.
La lista incluye órdenes como passwd
, ping
, su
y sudo
.
Para su implementación, los programas con setuid reales se crean en el directorio /run/setuid-programs durante la activación del sistema. Los archivos en este directorio hacen referencia a los binarios “reales”, que están en el almacén.
Siguiente: Certificados X.509, Anterior: Servicios, Subir: Configuración del sistema [Índice general][Índice]