Da die Datei mit den Ereignissen nun mal root gehört:
Code:
root@FB7490:~ $ ls -l /var/.ar7events
-rw-rw-r-- 1 root root 40000 Nov 14 14:19 /var/.ar7events
braucht man logischerweise entweder die Gruppe root oder sogar den Benutzer root oder man erlaubt dem Rest der Welt auch das Schreiben (ob das am Ende reicht, muß man aber erst mal probieren).
Alternativ könnte man "eventadd" mit "setuid"-Flag (oder setgid) bereitstellen, das geht wegen des r/o-Filesystem dann nur in durch Firmware-Änderung.
Wobei die Einführung eines einzelnen Nutzers mit geringeren Rechten beim FRITZ!OS schon sehr sehr gut durchdacht werden will (auch das Droppen bei Daemons auf "nobody/nogroup" ist beim FRITZ!OS eher symbolisch und funktioniert nur bei einigen wenigen Diensten wirklich, die anschließend keine Dateien neu öffnen wollen) - nur für einen einzelnen Einsatzfall bringt so ein Konzept nur wenig und der Aufwand ist entprechend hoch.
Wenn das ein öffentlich erreichbarer Dienst wird, dessen Sicherheit einem selbst nicht so recht geheuer ist, dann würde ich den eher nicht auf die Box bringen anstatt über eine Einschränkung von Rechten nachzudenken.
Genau für solche Fälle gibt es dann nämlich bei "richtigem Linux" die zusätzlichen Sicherheitslayer (SELinux oder AppArmor) - wenn man dem eventadd-Kommando (ClosedSource von AVM) das setuid-Bit verpaßt und durch geeignete Parameter beim Aufruf kann das dann mißbraucht werden (z.B. durch Überläufe beim Ersetzen von Zeichenketten in den Templates), ist man genauso weit mit einem Nutzer mit geringeren Rechten wie ohne einen solchen.
Wobei meine Haltung da schon etwas ambivalent ist ... so sehr so ein Schritt auch zu begrüßen ist (wenn sich niemand bewegt, ändert sich auch nichts), so wenig bringt er eben als einzelne Maßnahme - wenn man dabei nicht stehen bleibt und diese Linie konsequent weiter verfolgt, dann ist das etwas, was ich sehr gut finde. Aber nur für "das gute Gefühl" wäre es schon etwas Overkill ... wenn da irgendwann das "eventadd"-Kommando von AVM ausgeführt werden soll, dann ist das ja sicherlich nicht das einzige, was da stattfinden wird. Es kommt also schon sehr auf den Anwendungsfall an ...