PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Seltsames oidentd- oder Zugriffsproblem



hbergu01
23.09.2005, 18:26
Hallo Gemeinde,

ich habe ein recht seltsames Problem mit meinem oidentd-IDENTd-Server. Ich bin mir nicht zu hundert Prozent sicher, ob das hier dass richtge Forum dafür ist, aber ich habe kein passenderes Board gefunden. Ich bitte die Admins den Thread zu verschieben, wenn ich mich hier irren sollte..

Zu meinem Problem: Ich kriege die spoof-Funktion des oidentd nicht zum laufen. Aber eins nach dem Anderen:

Ich benutze auf meinem vServer Fedora Core 3, schon etwas älter, ich weiß, aber ich halte die wichtigsten Pakete per Hand up to date. Ich habe den oidentd händisch und per source installiert:


$> ./configure --prefix=/usr --sysconfdir=/etc --disable-masq --disable-nat --disable-ipv6
$> make
$> make install

Keine Probleme.

Meine /etc/oidentd.conf enthält eine Passage, indem ich dem lokalen Benutzer "hendrik" (das bin ich) erlaube mit der ~hendrik/.oidentd.conf seinen ident-Response zu spoofen:


user hendrik {
default {
allow spoof
allow spoof_all
allow random
allow hide
}
}

Ich starte den oidentd mit den Parametern -u nobody -g nobody um ihm eine nobody:nobody-Identität aufzuzwingen. Aus Sicherheitsgründen natürlich.

Damit der oidentd mit seiner nobody-Identität die ~hendrik/.oidentd.conf lesen kann, muss ich die Datei wie folgt anpassen (denke ich):


chown hendrik:nobody ~hendrik/.oidentd.conf
chmod 640 ~hendrik/.oidentd.conf

Der Datei wird so die Gruppenzugehörigkeit "nobody" zugeordnet, und außerdem wird der Gruppe "lesen" erlaubt. Folglich wäre es doch möglich, dass oidentd (der ja nobody:nobody läuft) jetzt jene Datei lesen kann, oder?

Aber es klappt nicht. Es sieht danach aus als würde er die ~hendrik/.oidendt.conf nicht finden/lesen können. Mein identd-response (im IRC zum Bleistift) bleibt ungespooft, also "hendrik", obwohl in der .oidentd.conf folgendes steht:

global { reply "hbergunde" }

Wenn ich den oidentd ohne -u und -g starte, er also unter root läuft, dann klappt das spoofing perfekt. Aber ich möchte einen nach außen erreichbaren Service natürlich nicht unter root-Identität laufen lassen.

Hoffe ihr habt ein paar Ideen für mich, Danke euch im Vorraus.

Grüße,
-Hendrik-