| blob | 9937bf936678174a6e6b5f5f7c299439a1d6d5f7 |
3 "dtd/kdex.dtd" [
9 ]>
12 <bookinfo>
14 <title
17 <authorgroup>
18 <author
21 ><firstname
23 > <surname
25 > <affiliation
26 ><address
27 ><email
29 ></address
30 ></affiliation
31 > <contrib
33 ></othercredit
34 >
35 </authorgroup>
37 <copyright>
38 <year
40 <holder
42 </copyright>
44 <legalnotice
47 <date
49 <releaseinfo
53 <abstract
54 ><para
58 ></abstract>
60 <keywordset>
61 <keyword
63 <keyword
65 <keyword
67 <keyword
69 </keywordset>
71 </bookinfo>
74 <title
77 <para
78 >Добро пожаловать в &kdesu;! Эта программа представляет собой графическую оболочку к &UNIX;-команде <command
80 > для среды &kde;. Она позволяет вам запускать программы от имени другого пользователя, если вы передадите ей пароль этого пользователя. &kdesu; является непривилегированной программой и пользуется системным <command
84 <para
85 >&kdesu; предлагает еще одну дополнительную возможность — запоминание паролей. Чтобы использовать ее, вам нужно ввести пароль всего однажды для каждой команды. Подробности и анализ безопасности смотрите по ссылке <xref linkend="sec-password-keeping"/>.</para>
87 <para
92 >, используя графический интерфейс, мне кажется, что она скорее основана на слиянии командной строки и графического интерфейса, а не просто на графическом интерфейсе.</para>
94 </chapter>
97 <title
100 <para
103 <cmdsynopsis
104 ><command
106 > <arg
108 > <arg
110 > <arg
112 > <arg
114 > <arg
116 > <arg
119 ></arg
120 > <arg
122 > <arg
123 > <replaceable
125 > <arg
126 ><replaceable
128 ></arg
129 > <arg
130 ><replaceable
132 ></arg
134 ><replaceable
135 ></replaceable
136 ></arg
137 > </arg
138 > </group
139 > </arg
140 > </cmdsynopsis>
142 <cmdsynopsis
143 ><command
145 > <group
146 > <arg
148 > <arg
150 > <arg
152 > </group
153 > </cmdsynopsis>
155 <para
158 <variablelist>
159 <varlistentry>
160 <term
161 ><option
164 ></option
165 ></term>
166 <listitem
167 ><para
168 >Указать программу для запуска с правами root. Это должен быть один аргумент. Поэтому, если вы хотите запустить новый файловый менеджер, вам следует ввести следующее: <userinput
169 ><command
173 ></option
174 ></command
175 ></userinput
177 ></listitem>
178 </varlistentry>
179 <varlistentry>
180 <term
181 ><option
184 ></option
185 ></term>
186 <listitem
187 ><para
192 >. Если он доступен для записи текущему пользователю, то &kdesu; запустит команду с правами этого пользователя. Иначе команда будет запущена с правами пользователя <parameter
195 <para
196 ><parameter
200 >, то он считается абсолютным путем. Иначе — именем глобального файла конфигурации &kde;. Например, чтобы настроить менеджер входа в систему <application
205 ></command
207 ></listitem>
208 </varlistentry>
209 <varlistentry>
210 <term
211 ><option
213 ></term>
214 <listitem
215 ><para
216 >Разрешить терминальный вывод. Это делает невозможным запоминание паролей. В основном служит для отладки. Если вы хотите запустить обычное консольное приложение, пользуйтесь стандартным <command
219 > </listitem>
220 </varlistentry>
221 <varlistentry>
222 <term
223 ><option
225 ></term>
226 <listitem
227 ><para
231 ></listitem>
232 </varlistentry>
233 <varlistentry>
234 <term
235 ><option
237 ></term>
238 <listitem
239 ><para
241 ></listitem>
242 <!-- Lauri: This could do with a little expansion. quiet as in no screen -->
243 <!-- output, quiet as in no gui prompt for the password, or quiet as in no -->
244 <!-- beeping? -->
245 </varlistentry>
247 <varlistentry>
248 <term
249 ><option
251 ></term>
252 <listitem
253 ><para
255 ></listitem>
256 </varlistentry>
257 <varlistentry>
258 <term
259 ><option
261 ></term>
262 <listitem
263 ><para
265 ></listitem>
266 </varlistentry>
267 <varlistentry>
268 <term
269 ><option
271 ></term>
272 <listitem
273 ><para
275 ></listitem>
276 </varlistentry>
277 <varlistentry>
278 <term
279 ><option
281 ></term>
282 <listitem
283 ><para
285 ></listitem>
286 </varlistentry>
287 </variablelist>
289 </chapter>
292 <title
295 <para
301 ><guisubmenu
303 ><guisubmenu
305 ><guimenuitem
307 ><guimenuitem
309 ></menuchoice
312 <variablelist>
313 <varlistentry>
314 <term
315 ><guilabel
317 ></term>
318 <listitem
319 ><para
320 >Определяет режим отображения символов пароля. Можно выводить звездочку вместо каждого символа, три звездочки или вообще ничего не выводить. По умолчанию — одна звездочка вместо символа.</para
321 ></listitem>
322 </varlistentry>
323 <varlistentry>
324 <term
325 ><guilabel
327 ></term>
328 <listitem
329 ><para
332 > установлен, &kdesu; будет запоминать введенные пароли. Время (в минутах), в течение которого вас не спросят повторно пароль, вводится в поле ниже. По умолчанию эта возможность не используется.</para
333 ></listitem>
334 </varlistentry>
335 </variablelist>
337 </chapter>
340 <title
344 <title
347 <para
348 >Запускаемая вами программа будет работать с идентификатором пользователя root и, в общем случае, не будет иметь прав для доступа к вашему X-дисплею. &kdesu; исправляет это, добавляя авторизационный cookie для вашего дисплея во временный файл <filename
352 <para
353 >Если вы не используете систему X cookie, то &kdesu; обнаружит это и не будет добавлять новый cookie, однако никакой гарантии, что root получит доступ к вашему дисплею, не дается.</para>
355 </sect1>
358 <title
361 ></title>
363 <para
366 >, чтобы получить привилегированный доступ. В этом разделе объясняются детали того, как &kdesu; это делает. </para>
368 <para
377 <para
378 >Чтобы выполнить программу, которую выбрал пользователь, а не запустить оболочку интерактивно, используется параметр <option
382 >. Этот аргумент понимается всеми известными мне оболочками и должен быть переносимым. Команда <command
386 > оболочке пользователя, которая и запускает программу на исполнение. Это выглядит так: <command
390 ></option
391 ></command
394 <para
399 >. Она (запущенная с правами требуемого пользователя) запрашивает определенную информацию от &kdesu; через канал pty/tty (stdin и stdout для этой программы), а затем уже выполняет программу пользователя. Передаваемая информация: номер X-дисплея, авторизационный X cookie (если доступен), переменная <envar
401 > и команда для запуска. Такая вспомогательная программа нужна, потому что X cookie содержит секретную информацию и поэтому не может быть передан в командной строке.</para>
403 </sect1>
406 <title
409 <para
410 >&kdesu; проверяет введенный вами пароль и выдает сообщение об ошибке, если он не верен. Проверка организована с помощью выполнения программы-теста <filename
414 </sect1>
417 <title
420 <para
421 >Для вашего удобства в &kdesu; реализован механизм хранения паролей. Если вас интересуют вопросы безопасности, прочитайте этот раздел.</para>
423 <para
424 >Запоминание паролей в &kdesu; создает небольшую дыру в системе безопасности вашей системы. Очевидно, что &kdesu; не позволяет никому, кроме пользователей с вашим идентификатором пользоваться этими паролями. Однако если это реализовать без предосторожностей, системный уровень безопасности <systemitem class="username"
426 > понизится до уровня обычного пользователя (вас). И человек, который получит доступ к вашей учетной записи, получит доступ уровня <systemitem class="username"
428 >. &kdesu; пытается не допустить этого. Схема безопасности, используемая им, на мой взгляд, достаточно безопасна.</para>
430 <para
435 >. Режим его доступа равен 0600, то есть только пользователь с вашим идентификатором может соединиться с ним. Если хранение паролей включено, &kdesu; выполняет команды через этот сервис. Он пишет команды и пароль пользователя <systemitem class="username"
439 >, как описано выше. После этого команда и пароль не теряются, а хранятся в течение указанного времени (устанавливается в модуле настройки). Если другой запрос на запуск такой же команды приходит в течение этого периода времени, клиент может не предоставлять пароль. Чтобы не дать человеку, получившему доступ к вашей учетной записи, украсть у сервиса пароль (например, запуском отладчика), sgid сервиса (группа при запуске) установлен в nogroup. Это не дает обычным пользователям, в том числе и вам, получать пароли от процесса <application
443 > в значение при запуске. Все, что сможет сделать взломщик — это запустить на вашем дисплее приложение.</para>
445 <para
446 >Слабое место в этой схеме в том, что запускаемые программы могут быть написаны без соблюдения правил защиты (например, программы с setuid <systemitem class="username"
448 >). Это означает, что они могут вызвать переполнение буферов или другие проблемы, а взломщик может использовать это.</para>
450 <para
451 >Использование хранения паролей — это компромисс между безопасностью и удобством. Подумайте и решите, что вам больше важно, и решите, будете ли вы им пользоваться.</para>
453 </sect1>
454 </chapter>
457 <title
460 <para
463 <para
466 <para
467 >&kdesu; написал Геерт Янсен (Geert Jansen). Эта программа основана на &kdesu;, версии 0.3, написанной Пьетро Иглио (Pietro Iglio). Мы договорились, что я буду проводить дальнейшую поддержку этой программы.</para>
469 <para
470 >С автором можно связаться по адресу &Geert.Jansen.mail;. Пожалуйста, сообщайте мне о всех встреченных ошибках, чтобы я мог их исправить. Также жду любых предложений и комментариев.</para>
473 </book>
474 <!--
475 Local Variables:
476 mode: sgml
477 sgml-omittag: nil
478 sgml-shorttag: t
479 End:
480 -->