D-BUS : at_console avec XDM et Slackware 12.1

Pour slackware 12.1

La problématique

Sans PAM l'environnement XFCE et KDE se trouve privé de fonctionnalités essentielles pour les utilisateurs telles que le montage de CD ou de disque externe mobile, l'arrêt de la session. Vous avez du voir ce message :

A security policy in place prevents this sender from sending
this message to this recipient, see message bus
configuration file (rejected message had interface
"org.freedesktop.Hal.Device.Volume" member "Mount" error
name "(unset)" destination "org.freedesktop.Hal")

L'administrateur du système doit alors ajouter sur la machine locale des groupes secondaires aux utilisateurs, redémarre D-BUS et le problème est contourné.

Cela est valable pour 3 utilisateurs et 2 machines, mais dans un autre contexte, par exemple 200 utilistateurs itinérants sur des dizaines de machines dans un réseau de 300 machines, tout ça géré dans un annuaire réseau tel que LDAP, avec des arrivées et départs de 10 à 20 utilisateurs par mois, la solution n'est plus adaptée...

Nous allons voir comment contourner ce problème en adaptant XDM :

• des groupes secondaires ajoutés lors de la connexion sur la console, comme le fait la Shadow Password Suite
• effectuer le traitement que fait PAM et en particulier le module pam_console

Après la présentation détaillée de la problématique, de la solution et du mode contournement, vous retrouverez l'ensemble des sources permettant cette adaptation ainsi que la « check list » de mise en place.

La règle « at_console » qu'est ce ?

D-BUS donne des autorisations particulières à la session qui vérifie la règle « at_console ». A la lecture du fichier de configuration /etc/dbus-1/system.d/hal.conf, nous découvrons ces autorisations particulières :

• org.freedesktop.Hal.Device.SystemPowerManagement : va autoriser l'arrêt ou le redémarage de la machine
• org.freedesktop.Hal.Device.LaptopPanel : gestion de la luminosité de l'écran
• org.freedesktop.Hal.Device.Volume : montage, démontage et si possible éjection des médias amovibles (clés USB, CD, DVD...)
• org.freedesktop.Hal.Device.Volume.Crypto : chiffrement des système de fichier

Le problème de cette règle, c'est que sa valeur semble être influencée par le module pam_console, mais quand on est sous Slackware Linux, PAM n'est pas « out of the box » (« livré en standard » semble être la traduction idéale dans ce contexte).

Ces autorisations sont aussi ouvertes à certains groupes : power, video et plugdev. Mais il faut que les inscriptions soient faites dans l'annaire group au démarage de hald et de D-BUS. Ces groupes sont aussi utilisés par UDEV pour créer dynamiquement les chemins d'accès dans le dossier /dev.

Quand on met en place un annuaire réseau - NIS (yellow page) ou LDAP - donner ces droits peut avoir un impact non négligeable sur la sécurité : tous les utilisateurs auraient le droit d'éteindre les serveurs, le poste du voisin... Il faut donc trouver un fonctionnement se rapprochant de PAM en rendant vraie la règle at_console.

Hack de « D-BUS » et « fake » de pam_console

« Hacker » signifier ici « comprendre par la lecture des fichiers source », et « fake » signifie « simuler » la règle pam_console.

Après décompression du source utilisé par la version 12.1 de Slackware Linux, puis quelques find ... grep, une solution semble assez évidente et facile à mettre en oeuvre :

• bus/policy.c : l'affectation de la variable se fait avec la fonction _dbus_unix_user_is_at_console()
• dbus/dbus-sysdeps-util-unix.c contient cette fonction qui fait uniquement appel à _dbus_is_console_user()
• dbus/dbus-userdb-util.c : on découvre que la fonction _dbus_is_console_user() contruit de manière sécurisée et dynamique le chemin /var/run/console/$USER, puis vérifie que le fichier existe. Si ce fichier existe, « at_console » devient « vrai ».

Vérification : création d'un utilisateur atconsole, du groupe users sans groupe secondaire, création en tant que root du fichier /var/run/console/atconsole, connexion avec le compte atconsole en mode console, lancement de XFCE grace à startx. Comme par magie, j'ai la possibilité de monter les clés USB, les CDROM, les boutons Eteindre et Redémarrer sont actif dans la fenètre de déconnexion. Hypothèse vérifiée.

Faire un « fake » de pam_console semble donc assez facile, il faudra s'astreindre à :

• création du fichier /var/run/console/$USER lors de la connexion de l'utilisateur sur la console
• supprimer ce fichier lorsqu'il se déconnecte
• faire en sorte qu'il y ait qu'un seul fichier dans le dossier
• couvrir les arrêts intempestifs afin que la reprise présente une situation claire

Nous allons donc devoir gérér proprement les débuts et fins de sessions des utilisateurs sur les consoles...

XDM

X Display Manager propose une interface basique de connexion des utilisateur en mode graphique.

Après recherche rapide, le produit « out of the box » qui permet de gérer facilement le début et la fin de session d'un utilisateur en mode graphique, c'est XDM. Si on regarde en détail le source, XDM peut gérer une connexion en générant des tickets Kerberos, utile pour LDAP, ou des certificats Sun Secure RPC utilisées avec l'annuaire NIS+. Ces fonctionnalités natives de XDM ne rendent pas PAM nécessaire...

Dans les sources de XDM, le define USE_PAM indique si le support de PAM est actif ou non. Nous simulerons donc pam_console que si le support de PAM n'est pas actif.

La solution semble aisée, c'est sans aller voir de plus prêt, car avoir l'autorisation de D-BUS n'est pas suffisant, il faut de temps en temps des droits classiques sur les périphériques que udev protège souvent à l'aide de groupe UNIX. Autant la Shadow Password Suite propose de rajouter des groupes UNIX à l'utililisateur se connectant à la console autant XDM n'a pas cette possibilité.

Les groupes ajoutés par la Shadow Password Suite sont définis dans la variable CONSOLE_GROUPS, elle-même renseignée dans le fichier /etc/login.defs.

Un petit défaut de XDM c'est qu'il ne dispose pas « out of the box » d'une sélection simple des différents environnement graphique disponible, mais cette fonctionnalité peut être ajouter simplement à XDM, cela fera l'objet d'un prochain article.

Implémentation de la solution

La plus part des modifications seront faite en modifiant la zone de construction des packages fournie par la Slackware Linux. Nous allons néanmoins essayer de détailler ce qui est modifié,pourquoi et comment. Ces fichier sont contenues dans l'archive que vous pouvez télécharger à la fin de l'article.

Les modifications suivantes seront directement faites sur les fichiers sources de XDM lors de la construction du package.

dm.h par le patch patch/xdm/dm_h.diff.gz

Ajout de la variable globale consoleGroups qui contiendra la valeur de la ressource DisplayManager.consoleGroups.

ressource.c par le patch patch/xdm/resource_c.diff.gz

La modification porte sur la recherche de la valeur de la ressource.

session.c par le patch patch/xdm/session_c.diff.gz

La modification porte sur 3 actions :

• création du fichier /var/run/console/$USER pour le « fake » de at_console lors d'une ouverture de session sur la console,
• suppression de ce même fichier, à la fermeture de session
• si la session est sur la console, ajout des groupes secondaires identifiés dans la ressource consoleGroups.

xdm-config par le patch patch/xdm/config_xdm-config_cpp.diff.gz

Ajout d'une valeur de pour consoleGroups et d'un commentaire d'avertissement. Les groupes qui seront rajoutés lors d'une connexion sur la console sont : floppy, audio, video, cdrom, plugdev et power.

Les modifications suivantes sont faites sur les fichiers qui servent à la construction du package.

build/xdm

Nous changeons le « 1 » en « 2crabs » pour permettre facilement la mise à niveau via upgradepkg.

patch/xdm.patch

Ce script contient les lignes de commandes qui permettent d'appliquer les patches décrits précédement.

post-install/xdm/Xsetup_0

Nous ajoutons ici le nettoyage de la zone /var/run/console afin qu'un seul utilisateur ait les droits at_console.

slack-desc/xdm

Ajout de commentaires dans la description du package afin que les administrateurs soient au courant de la modification du package XDM qui touche à des aspects de sécurité.

Mise en place

Télécharger les fichiers nécessaires aux modifications.

# cd repertoire_de_travail

# export TMP=`pwd`

# cp -r /media/SlackDVD/source/x/x11 x11

# cd x11

# tar xf chemin_de_download/dbus_at_console_xdm.tar

# ./x11.SlackBuild app xdm

# cd ../x11-build

# upgradepkg xdm-1.1.7-i486-2crabs.tgz

# cd /etc/X11/xdm

# cp xdm-session.new xdm-session

# init 3

# chmod -x /usr/bin/gdm

# chmod -x /usr/bin/kdm

# init 4

N'hésiter pas à vérifier et adapter la ressource DisplayManager.consoleGroups dans le fichier /etc/X11/xdm/xdm-config.