[Comm] Alt Linux Master 2.2 Problems

[Comm] Alt Linux Master 2.2 Problems

[Владимир Гусев]

-Попытка  запустить под root'ом Mandrake Control Center всегда заканчивается одним - выскакивает окно Consolehelper c кулаком и надписью permission denied...
     - При попытке запустить kppp под пользователем (созданным по умолчанию при  инсталляции в режиме эксперта), высвечивается сообщение о том, что эту программу не позволяется запускать данному пользователю...
     - Команда su под этим же пользователем не работает - высвечивается сообщение типа /bin/sh permission denied...
     - Самое интересное происходит со шрифтами - ни программа Font Install, ни FontDrake в режиме root'а не могут инсталлировать шрифты, точнее не так - могут, и по команде xlsfonts эти шрифты видны в системе, однако они остаются недоступными для использования под root'ом. В режиме пользователя все работает, то есть, например, можно поменять шрифт по умолчанию на любой проинсталлированный.

Используется Alt Linux Master 2.2 (9 дисков) свежеустановленный без собственных добавлений. Установлены все пакеты, предлагаемые во время инсталляции. 
В  Alt Linux Master 2.0 такого не наблюдалось... В чем же дело? Ошибки ли это дистрибутива, либо какие-то оправданные (по мнению разработчиков) действия?

Re: [Comm] Alt Linux Master 2.2 Problems

[Maxim Tyurin]

On Sun, May 11, 2003 at 09:58:53PM +0400, Владимир Гусев wrote:
> -Попытка  запустить под root'ом Mandrake Control Center всегда заканчивается одним - выскакивает окно Consolehelper c кулаком и надписью permission denied...
>      - При попытке запустить kppp под пользователем (созданным по умолчанию при  инсталляции в режиме эксперта), высвечивается сообщение о том, что эту программу не позволяется запускать данному пользователю...
>      - Команда su под этим же пользователем не работает - высвечивается сообщение типа /bin/sh permission denied...
>      - Самое интересное происходит со шрифтами - ни программа Font Install, ни FontDrake в режиме root'а не могут инсталлировать шрифты, точнее не так - могут, и по команде xlsfonts эти шрифты видны в системе, однако они остаются недоступными для использования под root'ом. В режиме пользователя все работает, то есть, например, можно поменять шрифт по умолчанию на любой проинсталлированный.
> 
> Используется Alt Linux Master 2.2 (9 дисков) свежеустановленный без собственных добавлений. Установлены все пакеты, предлагаемые во время инсталляции. 
> В  Alt Linux Master 2.0 такого не наблюдалось... В чем же дело? Ошибки ли это дистрибутива, либо какие-то оправданные (по мнению разработчиков) действия?

Никогда не работайте под рутом в Х!
Насчет su - ставили как "эксперт" ? Если да - читайте доки по control
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

Re: [Comm] Alt Linux Master 2.2 Problems

[Sergey Kuznetsov]

On Sun, 11 May 2003 21:58:53 +0400
Владимир Гусев <vova1971@mail.ru> wrote:

>   - Команда su под этим же пользователем не работает -
>   высвечивается сообщение типа /bin/sh permission denied...

control su wheel. И включить себя в группу wheel.

С уважением,
Сергей

Re: [Comm] Alt Linux Master 2.2 Problems

[Grigory Tuboltsev]

Никогда не работайте в графическом режиме (в Х-ах) под пользователем
root. В АльтЛинукс специально сделано все, чтобы под рутом в иксах
работать было нельзя. И правильно сделано...
Рецепты для решения Ваших проблем в этом списке неоднократно уже
приводились - поищите в архивах.
С уважением
Григорий Тубольцев.

> -Попытка  запустить под root'ом Mandrake Control Center всегда
> заканчивается одним - выскакивает окно Consolehelper c кулаком и
> надписью permission denied...
>      - При попытке запустить kppp под пользователем (созданным по
>      умолчанию при  инсталляции в режиме эксперта), высвечивается
>      сообщение о том, что эту программу не позволяется запускать
>      данному пользователю...- Команда su под этим же пользователем не
>      работает - высвечивается сообщение типа /bin/sh permission
>      denied...- Самое интересное происходит со шрифтами - ни программа
>      Font Install, ни FontDrake в режиме root'а не могут
>      инсталлировать шрифты, точнее не так - могут, и по команде
>      xlsfonts эти шрифты видны в системе, однако они остаются
>      недоступными для использования под root'ом. В режиме пользователя
>      все работает, то есть, например, можно поменять шрифт по
>      умолчанию на любой проинсталлированный.
> 
> Используется Alt Linux Master 2.2 (9 дисков) свежеустановленный без
> собственных добавлений. Установлены все пакеты, предлагаемые во время
> инсталляции. В  Alt Linux Master 2.0 такого не наблюдалось... В чем же
> дело? Ошибки ли это дистрибутива, либо какие-то оправданные (по мнению
> разработчиков) действия?
> 
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community
> Dialup от 0.5 у.е./час, цифровые телефоны, льготный тариф с 0.00 до
> 10.00,бесплатная доставка карт √ www.orc.ru/dialup
> 

Re: [Comm] Alt Linux Master 2.2 Problems

[Gleb Kulikov]

В сообщении от 11 Май 2003 14:19 Grigory Tuboltsev написал:
> Никогда не работайте в графическом режиме (в Х-ах) под пользователем
> root. В АльтЛинукс специально сделано все, чтобы под рутом в иксах
> работать было нельзя. И правильно сделано...

Маразм какой-то.

-- 
			Салют, /GLeb

Re: [Comm] Alt Linux Master 2.2 Problems

[Sergey Kuznetsov]

On Mon, 12 May 2003 10:41:51 -0600
Gleb Kulikov <gleb@asd.iao.ru> wrote:

> В сообщении от 11 Май 2003 14:19 Grigory Tuboltsev написал:
> > Никогда не работайте в графическом режиме (в Х-ах) под
> > пользователем root. В АльтЛинукс специально сделано все,
> > чтобы под рутом в иксах работать было нельзя. И правильно
> > сделано...
> 
> Маразм какой-то.

Почему же? Это забота о безопасности, свое рода "защита от
дурака". Root нужен для решения каких-то проблем
администрирования, а не для работы. В этом случае его чаще всего
заменяет su/sudo, на худой конец - прямое требование программы
ввести root'овый пароль. Запустили от root'а_программу_,
закончили работу - и вы опять пользователь. А запуск X'ов от
root'а повышает риск угробить систему.

С уважением,
Сергей

Re[2]: [Comm] Alt Linux Master 2.2 Problems

[Alexandr A. Alexandrov]

Доброго времени суток!

Monday, May 12, 2003, 9:15:19 PM, you wrote:

>> В сообщении от 11 Май 2003 14:19 Grigory Tuboltsev написал:
>> > Никогда не работайте в графическом режиме (в Х-ах) под
>> > пользователем root. В АльтЛинукс специально сделано все,
>> > чтобы под рутом в иксах работать было нельзя. И правильно
>> > сделано...
>> 
>> Маразм какой-то.

SK> Почему же? Это забота о безопасности, свое рода "защита от
SK> дурака". Root нужен для решения каких-то проблем
SK> администрирования, а не для работы. В этом случае его чаще всего
SK> заменяет su/sudo, на худой конец - прямое требование программы
SK> ввести root'овый пароль. Запустили от root'а_программу_,
SK> закончили работу - и вы опять пользователь. А запуск X'ов от
SK> root'а повышает риск угробить систему.

  Может, объясните мне разницу, чем отличается запуск
rm /* -f, выполненный от рута, от sudo rm /* -f, выполненного от
пользователя? Если человек знает рутовый пароль - то нет большой
разницы, как он его применяет.

-- 
С уважением,
 Александр                            mailto:aaa@inreco.ru

Девиз дня: Меняю комнатную собачку на двухкомнатную...

Re: Re[2]: [Comm] Alt Linux Master 2.2 Problems

[Dmitry Lebkov]

On Mon, 12 May 2003 23:06:54 +0400
"Alexandr A. Alexandrov" <aaa@inreco.ru> wrote:

> Доброго времени суток!
> 
> Monday, May 12, 2003, 9:15:19 PM, you wrote:
> 
> >> В сообщении от 11 Май 2003 14:19 Grigory Tuboltsev написал:
> >> > Никогда не работайте в графическом режиме (в Х-ах) под
> >> > пользователем root. В АльтЛинукс специально сделано все,
> >> > чтобы под рутом в иксах работать было нельзя. И правильно
> >> > сделано...
> >> 
> >> Маразм какой-то.
> 
> SK> Почему же? Это забота о безопасности, свое рода "защита от
> SK> дурака". Root нужен для решения каких-то проблем
> SK> администрирования, а не для работы. В этом случае его чаще всего
> SK> заменяет su/sudo, на худой конец - прямое требование программы
> SK> ввести root'овый пароль. Запустили от root'а_программу_,
> SK> закончили работу - и вы опять пользователь. А запуск X'ов от
> SK> root'а повышает риск угробить систему.
> 
>   Может, объясните мне разницу, чем отличается запуск
> rm /* -f, выполненный от рута, от sudo rm /* -f, выполненного от
> пользователя?

Тем, что в sudo можно не разрешать выполнение данной команды 'sudo rm /* -f'.

> Если человек знает рутовый пароль - то нет большой разницы, как он
> его применяет.

Знание рутового пароля поможет ему изменить конфиг sudo, но не поможет
выполнить эту команду от пользователя, если в конфиге sudo она отсутствует.

См. архивы рассылки на http://search.altlinux.ru - здесь эта тема
(работа рутом в иксах) всплывает с завидной периодичностью ...


--
WRB, Dmitry Lebkov

Re: [Comm] Alt Linux Master 2.2 Problems

[Alexey Borovskoy]

* 13 Май 2003 08:06 "Alexandr A. Alexandrov" <aaa@inreco.ru>

Добрый день.

> Доброго времени суток!
>
> Monday, May 12, 2003, 9:15:19 PM, you wrote:
>   Может, объясните мне разницу, чем отличается запуск
> rm /* -f, выполненный от рута, от sudo rm /* -f, выполненного
> от пользователя? Если человек знает рутовый пароль - то нет
> большой разницы, как он его применяет.

Внимательно прочитайте man на sudo. Ман на русском.
Хинт: sudo требует пароля пользователя, а не рута.

----
Алексей.
JID:alb@jabber.ru.
-- 
----
Алексей.
JID:alb@jabber.ru.

Re[2]: [Comm] Alt Linux Master 2.2 Problems

[Владимир Гусев]

Большое  спасибо  за  подсказку!  Вопрос  с  kppp  отпал, но
остался  довольно  принципиальный  вопрос  про шрифты - root
вообще не видит шрифтов, проинсталлированных в нем же...:( в
старом Альте 2.0 такого не было...

Re: [Comm] Alt Linux Master 2.2 Problems

[Dmitry Alexeyev]

В сообщении от Понедельник 12 Май 2003 21:15 Sergey Kuznetsov написал:
> On Mon, 12 May 2003 10:41:51 -0600
>
> Gleb Kulikov <gleb@asd.iao.ru> wrote:
> > В сообщении от 11 Май 2003 14:19 Grigory Tuboltsev написал:
> > > Никогда не работайте в графическом режиме (в Х-ах) под
> > > пользователем root. В АльтЛинукс специально сделано все,
> > > чтобы под рутом в иксах работать было нельзя. И правильно
> > > сделано...
> >
> > Маразм какой-то.
>
> Почему же? Это забота о безопасности, свое рода "защита от
> дурака".

If you'll create a perfect idiot protection, someone will make a better idiot 
(c) не мой.  
  
> Root нужен для решения каких-то проблем
> администрирования, а не для работы. В этом случае его чаще всего
> заменяет su/sudo, на худой конец - прямое требование программы
> ввести root'овый пароль. Запустили от root'а_программу_,
> закончили работу - и вы опять пользователь. А запуск X'ов от
> root'а повышает риск угробить систему.

Мне нравится подход apache и postgres к этому. "Перекомпилите меня с ключём 
i-don't-care-about-security". 

WBR,
Dmitry

Re[2]: [Comm] Alt Linux Master 2.2 Problems

[Sergey Kuznetsov]

On Tue, 13 May 2003 10:47:12 +0400
Владимир Гусев <vova1971@mail.ru> wrote:

> Большое  спасибо  за  подсказку!  Вопрос  с  kppp  отпал, но
> остался  довольно  принципиальный  вопрос  про шрифты - root
> вообще не видит шрифтов, проинсталлированных в нем же...:( в
> старом Альте 2.0 такого не было...

Если это вопрос практический ("как сделать, чтобы все было так,
как я хочу?"), то могу лишь повторить уже прозвучавший совет - не
запускайте X'ы от root'а. Ей богу, для решения административных
проблем вполне хватает запуска _отдельных_ программ от имени
root'а,  при X'ах, запущенных от _пользователя_.

Если же это вопрос познавательного плана ("любопытно, почему
все-таки все происходит так, а не иначе?"), то тут я вряд-ли вам
помогу: я еще не настолько хорошо понимаю внутренности системы.
Единственное, что приходит на ум: в ALT Linux у root'а НЕТ
кириллизации _в_принципе_ (это умышленная политика); не здесь ли
корень ваших проблем (м.б., вы пытаетесь поставить именно
кириллические шрифты)?

С уважением,
Сергей

Re: [Comm] Alt Linux Master 2.2 Problems

[aen]

Sergey Kuznetsov пишет:

>On Tue, 13 May 2003 10:47:12 +0400
>Владимир Гусев <vova1971@mail.ru> wrote:
>
>  
>
>>Большое  спасибо  за  подсказку!  Вопрос  с  kppp  отпал, но
>>остался  довольно  принципиальный  вопрос  про шрифты - root
>>вообще не видит шрифтов, проинсталлированных в нем же...:( в
>>старом Альте 2.0 такого не было...
>>    
>>
>
>Если это вопрос практический ("как сделать, чтобы все было так,
>как я хочу?"), то могу лишь повторить уже прозвучавший совет - не
>запускайте X'ы от root'а. Ей богу, для решения административных
>проблем вполне хватает запуска _отдельных_ программ от имени
>root'а,  при X'ах, запущенных от _пользователя_.
>
>Если же это вопрос познавательного плана ("любопытно, почему
>все-таки все происходит так, а не иначе?"), то тут я вряд-ли вам
>помогу: я еще не настолько хорошо понимаю внутренности системы.
>Единственное, что приходит на ум: в ALT Linux у root'а НЕТ
>кириллизации _в_принципе_ (это умышленная политика); не здесь ли
>корень ваших проблем (м.б., вы пытаетесь поставить именно
>кириллические шрифты)?
>  
>
root по умолчанию работает в locale C.
И сделано это не столько с целью убедить пользователя "жить правильно", 
сколько из соображений нормального функционирования системы.
Замечу, что так сделано не только в ALT, но (гораздо раньше) в Debian и 
SuSE.

Что касается шрифтов и управления ими, то в книжке есть глава про это.

Rgrds, AEN

Re[2]: [Comm] Alt Linux Master 2.2 Problems

[Maksim Otstavnov]

Hello aen,

Tuesday, May 13, 2003, 8:47:53 PM, you wrote:
a> root по умолчанию работает в locale C.
a> И сделано это не столько с целью убедить пользователя "жить правильно", 
a> сколько из соображений нормального функционирования системы.
a> Замечу, что так сделано не только в ALT, но (гораздо раньше) в Debian и 
a> SuSE.

Возможно, точнее сказать: "везде, кроме Ред Хэт".

-- 
-- Maksim

Re: [Comm] Alt Linux Master 2.2 Problems

[alex]

Не понятно за счет повышается риск угробить систему если вы работаете под root в графической оболочке
Кажается этот риск определяется главным образом компетенцией администратора а не окружением в котором оный работает

Александр

>В сообщении от Понедельник 12 Май 2003 21:15 Sergey Kuznetsov написал:
>> On Mon, 12 May 2003 10:41:51 -0600
>>
>> Gleb Kulikov <gleb@asd.iao.ru> wrote:
>> > В сообщении от 11 Май 2003 14:19 Grigory Tuboltsev написал:
>> > > Никогда не работайте в графическом режиме (в Х-ах) под
>> > > пользователем root. В АльтЛинукс специально сделано все,
>> > > чтобы под рутом в иксах работать было нельзя. И правильно
>> > > сделано...
>> >
>> > Маразм какой-то.
>>
>> Почему же? Это забота о безопасности, свое рода "защита от
>> дурака".
>
>If you'll create a perfect idiot protection, someone will make a better idiot 
>(c) не мой.  
>  
>> Root нужен для решения каких-то проблем
>> администрирования, а не для работы. В этом случае его чаще всего
>> заменяет su/sudo, на худой конец - прямое требование программы
>> ввести root'овый пароль. Запустили от root'а_программу_,
>> закончили работу - и вы опять пользователь. А запуск X'ов от
>> root'а повышает риск угробить систему.
>
>Мне нравится подход apache и postgres к этому. "Перекомпилите меня с ключём 
>i-don't-care-about-security". 
>
>WBR,
>Dmitry
>
>_______________________________________________
>Community mailing list
>Community@altlinux.ru
>http://www.altlinux.ru/mailman/listinfo/community


--
With Best Regards
Alex

Re: [Comm] Alt Linux Master 2.2 Problems

[Denis S. Filimonov]

14 Май 2003 18:10, alex написал:
> Не понятно за счет повышается риск угробить систему если вы работаете
> под root в графической оболочке Кажается этот риск определяется
> главным образом компетенцией администратора а не окружением в котором
> оный работает
>
в некотором смысле вы правы: _компетентный_ администратор старается 
работать привелегированым пользователем как можно меньше :-)

Re: [Comm] Alt Linux Master 2.2 Problems

[alex]

>14 Май 2003 18:10, alex написал:
>> Не понятно за счет повышается риск угробить систему если вы работаете
>> под root в графической оболочке Кажается этот риск определяется
>> главным образом компетенцией администратора а не окружением в котором
>> оный работает
>>
>в некотором смысле вы правы: _компетентный_ администратор старается 
>работать привелегированым пользователем как можно меньше :-)

Согласен. На мой взгляд есть операции которые очень удобно выполнять из графики а есть операции которые удобно выполнять из командной строчки
Под словом операции я понимаю операции администрирования, 
Всегда нужно знатть обе возможности графическую и командную

--
With Best Regards
Alex

[Comm] Re: Alt Linux Master 2.2 Problems

[Anton V. Boyarshinov]

On Wed, 14 May 2003 15:39:14 +0400 (MSD) alex
 wrote:

> На мой взгляд есть операции которые очень удобно выполнять из
> графики а есть операции которые удобно выполнять из командной
> строчки

И для того, что бы выполнять их из графики совсем не обязательно
запускать сессию Х от root. Есть su & sudo .

Антон
-- 
mailto:boyarsh@mail.ru
mailto:boyarsh@ru.echo.fr
 15:48:00  up  5:37,  8 users,  load average: 0.01, 0.07, 0.06

Re: [Comm] Alt Linux Master 2.2 Problems

[alex]

>Но вот только в любом случае нет никакой необходимости запускать X от 
>root. И в ALT все сделано для того, чтобы было удобно это _не_ делать.
>

Если мы говорим, что нельзя делать нечто, то очень хочется понять почему
Если не рекомендуется запускать X от root то почему далее по идее должен следовать список причин и возможных рисков
Это плохо потому что:
1.
2.
3.
...
n.
Пока я вижу только сообщения нельзя и все тут
Мне просто хочется понять в чем же дело.

--
With Best Regards
Alex

Re: [Comm] Alt Linux Master 2.2 Problems

[Artem Pastukhov]

14 Май 2003 15:58, alex написал:
> >Но вот только в любом случае нет никакой необходимости
> > запускать X от root. И в ALT все сделано для того, чтобы
> > было удобно это _не_ делать.
>
> Если мы говорим, что нельзя делать нечто, то очень хочется
> понять почему Если не рекомендуется запускать X от root то
> почему далее по идее должен следовать список причин и
> возможных рисков Это плохо потому что:
> 1.
> 2.
> 3.
> ...
> n.
> Пока я вижу только сообщения нельзя и все тут
> Мне просто хочется понять в чем же дело.
>
Все довольно просто
В вашей системе стят сотни различных программ, написанных 
тысячями разработчиков.
Вы уверены что ни одна из них случайно или специально не сделает 
rm -rf .* ?

p.s.

Я утрирую, но смысл ясен.

-- 
 С уважением,
Артем Пастухов          past@yam.ru
 ЯМ Интернешнл         http://www.yam.ru

Re: [Comm] Alt Linux Master 2.2 Problems

[aen]

alex пишет:

>>14 Май 2003 18:10, alex написал:
>>    
>>
>>>Не понятно за счет повышается риск угробить систему если вы работаете
>>>под root в графической оболочке Кажается этот риск определяется
>>>главным образом компетенцией администратора а не окружением в котором
>>>оный работает
>>>
>>>      
>>>
>>в некотором смысле вы правы: _компетентный_ администратор старается 
>>работать привелегированым пользователем как можно меньше :-)
>>    
>>
>
>Согласен. На мой взгляд есть операции которые очень удобно выполнять из графики а есть операции которые удобно выполнять из командной строчки
>Под словом операции я понимаю операции администрирования, 
>Всегда нужно знатть обе возможности графическую и командную
>
>  
>
Но вот только в любом случае нет никакой необходимости запускать X от 
root. И в ALT все сделано для того, чтобы было удобно это _не_ делать.

Rgrds, AEN

Re[3]: [Comm] Alt Linux Master 2.2 Problems

[Alexandr A. Alexandrov]

Доброго времени суток!

Tuesday, May 13, 2003, 7:46:09 PM, you wrote:

>> SK> Почему же? Это забота о безопасности, свое рода "защита от
>> SK> дурака". Root нужен для решения каких-то проблем
>> SK> администрирования, а не для работы. В этом случае его чаще
>> SK> всего заменяет su/sudo, на худой конец - прямое требование
>> SK> программы ввести root'овый пароль. Запустили от
>> SK> root'а_программу_, закончили работу - и вы опять
>> SK> пользователь. А запуск X'ов от root'а повышает риск
>> SK> угробить систему.
>> 
>>   Может, объясните мне разницу, чем отличается запуск
>> rm /* -f, выполненный от рута, от sudo rm /* -f, выполненного
>> от пользователя? Если человек знает рутовый пароль - то нет
>> большой разницы, как он его применяет.

SK> Если человек решил совершить суицид, он найдет способ обойти
SK> любую защиту. Тут вы правы. Но от _случайной_ смерти защитные
SK> системы спасти могут.

  Вот тут поподробней. Что значит - _случайной_? Человек может
точно так же случайно запустить какой-нибудь файловый менеджер от рута
и грохнуть системный каталог - независимо от того, запущены иксы от
рута или нет.
  Может быть, идёт речь о том, что какая-то криво написанная часть
иксов или оконных менеджеров может глюкнуть и что-то испортить? Скажу
по-другому. Что-то испортить может либо человек, либо глючная
программа. Если человек что-то делает неосознанно - например, ему
упорно хочется удалить /etc - он этого добьётся. Если делает осознанно
- то не нужно ему лишнего забора. Я и так /etc не пойду удалять. Если
же речь идёт о глючной программе - то о какой именно?
  Короче: какая _конкретно_ опасность подстерегает человека, кроме
гипотетической большей вероятности что-то угробить?

SK> Операторы, сидевшие за пультом реактора в
SK> Чернобыле, _отключили_ системы защиты - и это, вкупе с другими
SK> причинами, привело к известному всем результату. Но вы же не
SK> станете на этом основании утверждать, что система защиты
SK> реактора ВООБЩЕ не нужна?

  Я, наоборот, как раз и утверждаю то же самое: лишний барьер, который
юзер всё равно может отключить - защиту нисколько не повышает. Так что
Вы лишний раз подтвердили мои слова. :-)

-- 
С уважением,
 Александр                            mailto:aaa@inreco.ru

Девиз дня: Мышку за кошку, кошку за Жучку, Жучку за внучку, внучку за бабку, бабку за дедку... Так мстит сицилийская мафия...

Re: [Comm] Alt Linux Master 2.2 Problems

[aen]

alex пишет:

>>Но вот только в любом случае нет никакой необходимости запускать X от 
>>root. И в ALT все сделано для того, чтобы было удобно это _не_ делать.
>>
>>    
>>
>
>Если мы говорим, что нельзя делать нечто, то очень хочется понять почему
>Если не рекомендуется запускать X от root то почему далее по идее должен следовать список причин и возможных рисков
>Это плохо потому что:
>1.
>2.
>3.
>...
>n.
>Пока я вижу только сообщения нельзя и все тут
>Мне просто хочется понять в чем же дело.
>
>  
>
Потому, что:
1. Пользовательские приложения, в частности -- WM и особенно desktops, 
значительно меньше тестировались на предмет безопасности
2. Безопасность работы в locale, отличной от C, даже для администривных 
приложений, тестировалась значительно меньше, чем в locale C, особенно 
учитывая новейшие возможности glibc по части  multibyte. Этим, в 
частности, а не злокозненностью, объясняется "нелокализованность" ALT  
для root (так же в Debian и SuSE, здесь мы не первые).
3. В GUI значительно выше верятность случайных деструктивных действий, 
для них достаточоно  нескольких щелчков мыши, что при наличии прав root 
может просто разрушить систему.

Вообще, не рекомендуется одновременный запуск нескольких GUI-приложений 
с правами root, лучше сосредоточитсья на одном. Тем более не нужно 
запускать графическую оболочку с правами root.

Rgrds, AEN

Re: [Comm] Alt Linux Master 2.2 Problems

[alex]

>>> Если мы говорим, что нельзя делать нечто, то очень хочется
>> понять почему Если не рекомендуется запускать X от root то
>> почему далее по идее должен следовать список причин и
>> возможных рисков Это плохо потому что:
>> 1.
>> 2.
>> 3.
>> ...
>> n.
>> Пока я вижу только сообщения нельзя и все тут
>> Мне просто хочется понять в чем же дело.
>>
>Все довольно просто
>В вашей системе стят сотни различных программ, написанных 
>тысячями разработчиков.
>Вы уверены что ни одна из них случайно или специально не сделает 
>rm -rf .* ?
А причем X???? эта же опасность подстерегает и в командной строке
>p.s.
>
>Я утрирую, но смысл ясен.
>
>-- 
> С уважением,
>Артем Пастухов          past@yam.ru
> ЯМ Интернешнл         http://www.yam.ru
>


--
With Best Regards
Alex

Re: [Comm] Alt Linux Master 2.2 Problems

[alex]

>Потому, что:
>1. Пользовательские приложения, в частности -- WM и особенно desktops, 
>значительно меньше тестировались на предмет безопасности
>2. Безопасность работы в locale, отличной от C, даже для администривных 
>приложений, тестировалась значительно меньше, чем в locale C, особенно 
>учитывая новейшие возможности glibc по части  multibyte. Этим, в 
>частности, а не злокозненностью, объясняется "нелокализованность" ALT  
>для root (так же в Debian и SuSE, здесь мы не первые).
Согласен. Резонно
>3. В GUI значительно выше верятность случайных деструктивных действий, 
>для них достаточоно  нескольких щелчков мыши, что при наличии прав root 
>может просто разрушить систему.

cd /
rm -rf *

>
>Вообще, не рекомендуется одновременный запуск нескольких GUI-приложений 
>с правами root, лучше сосредоточитсья на одном. Тем более не нужно 
>запускать графическую оболочку с правами root.
>
>Rgrds, AEN
>
>_______________________________________________
>Community mailing list
>Community@altlinux.ru
>http://www.altlinux.ru/mailman/listinfo/community


--
With Best Regards
Alex

Re: [Comm] Alt Linux Master 2.2 Problems

[Artem Pastukhov]

14 Май 2003 16:59, alex написал:
> >>> Если мы говорим, что нельзя делать нечто, то очень хочется
> >>
> >> понять почему Если не рекомендуется запускать X от root то
> >> почему далее по идее должен следовать список причин и
> >> возможных рисков Это плохо потому что:
> >> 1.
> >> 2.
> >> 3.
> >> ...
> >> n.
> >> Пока я вижу только сообщения нельзя и все тут
> >> Мне просто хочется понять в чем же дело.
> >
> >Все довольно просто
> >В вашей системе стят сотни различных программ, написанных
> >тысячями разработчиков.
> >Вы уверены что ни одна из них случайно или специально не
> > сделает rm -rf .* ?
>
> А причем X???? эта же опасность подстерегает и в командной
> строке
>
1. Прочитайте соседнее письмо AEN 
2. И в коммандной строке тоже не рекомендуется работать рутом
-- 
 С уважением,
Артем Пастухов          past@yam.ru
 ЯМ Интернешнл         http://www.yam.ru

Re[3]: [Comm] Alt Linux Master 2.2 Problems

[Antonio]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Wed, 14 May 2003, Alexandr A. Alexandrov wrote:

> - то не нужно ему лишнего забора. Я и так /etc не пойду удалять. Если
> же речь идёт о глючной программе - то о какой именно?

/etc -- не пойдете, верю, а вот, скажем, /etc/somefile вполне. И
нечаянно получился пробел между / и etc (или так: /etc
/somefile). Хорошего мало.

>   Короче: какая _конкретно_ опасность подстерегает человека, кроме
> гипотетической большей вероятности что-то угробить?

cp /dev/cdrom /dev/null от рута не делали? Типа проверка
читаемости сидирома... Я так сам довольно давно попал. Еще на
редхате 4.2. Хорошо, быстро сообразил и mknod'ом поправил.

- -- 
Best regards,
	Tony.			mailto:obidos@mail.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.0 (GNU/Linux)

iD8DBQE+wj+c2gaLrWRbr5URAuH/AJ4/RfeQL1GhnoO4OpOFeGghLizomwCgmGrz
DCRj1MPELRoTE5y/OvTtNVY=
=So/Z
-----END PGP SIGNATURE-----

Re: [Comm] Alt Linux Master 2.2 Problems

[aen]

alex пишет:

>>Потому, что:
>>1. Пользовательские приложения, в частности -- WM и особенно desktops, 
>>значительно меньше тестировались на предмет безопасности
>>2. Безопасность работы в locale, отличной от C, даже для администривных 
>>приложений, тестировалась значительно меньше, чем в locale C, особенно 
>>учитывая новейшие возможности glibc по части  multibyte. Этим, в 
>>частности, а не злокозненностью, объясняется "нелокализованность" ALT  
>>для root (так же в Debian и SuSE, здесь мы не первые).
>>    
>>
>Согласен. Резонно
>  
>
>>3. В GUI значительно выше верятность случайных деструктивных действий, 
>>для них достаточоно  нескольких щелчков мыши, что при наличии прав root 
>>может просто разрушить систему.
>>    
>>
>
>cd /
>rm -rf *
>
Да, конечно. Но случайно перенести мышкой системный каталог в trash 
проще, для этого не надо знать опций команды rm, да и ее саму.
Замечу, что запускать root shell в текстовом режиме тоже не самый 
хороший вариант, без крайней необходимсоти лучше его избегать.

Rgrds, AEN

Re: [Comm] Alt Linux Master 2.2 Problems

[aen]

aen пишет:

> alex пишет:
>
>>> Потому, что:
>>> 1. Пользовательские приложения, в частности -- WM и особенно 
>>> desktops, значительно меньше тестировались на предмет безопасности
>>> 2. Безопасность работы в locale, отличной от C, даже для 
>>> администривных приложений, тестировалась значительно меньше, чем в 
>>> locale C, особенно учитывая новейшие возможности glibc по части  
>>> multibyte. Этим, в частности, а не злокозненностью, объясняется 
>>> "нелокализованность" ALT  для root (так же в Debian и SuSE, здесь мы 
>>> не первые).
>>>   
>>
>> Согласен. Резонно
>>  
>>
>>> 3. В GUI значительно выше верятность случайных деструктивных 
>>> действий, для них достаточоно  нескольких щелчков мыши, что при 
>>> наличии прав root может просто разрушить систему.
>>>   
>>
>>
>> cd /
>> rm -rf *
>>
> Да, конечно. Но случайно перенести мышкой системный каталог в trash 
> проще, для этого не надо знать опций команды rm, да и ее саму.
> Замечу, что запускать root shell в текстовом режиме тоже не самый 
> хороший вариант, без крайней необходимсоти лучше его избегать.

Вдогонку:
Если Вы запускаете только xterm под twm под root, то риск в сравнение с 
текстовым режимом практически не увеличивается, так как XFree все же 
отслеживается на предмет дыр.
Rgrds, AEN

Re[3]: [Comm] Alt Linux Master 2.2 Problems

[Sergey Kuznetsov]

On Wed, 14 May 2003 16:17:28 +0400
"Alexandr A. Alexandrov" <aaa@inreco.ru> wrote:

> Вот тут поподробней. Что значит - _случайной_? Человек может
> точно так же случайно запустить какой-нибудь файловый менеджер
> от рута и грохнуть системный каталог - независимо от того,
> запущены иксы от рута или нет.

????? 

СЛУЧАЙНО запустить что-то от рута, работая в Иксах, запущенных от
_пользователя_ - как вы это себе представляете? Для этого надо:

а) запустить ЭТО из root-консоли - она, во-первых, имеет другую
цветовую схему, во-вторых, придется явно ввести пароль рута.
_Случайности_ тут места нет.

б) запустить из консоли пользователя через sudo <имя программы> -
для этого вам придется сначала как минимум настроить sudo,
прочитав предварительно документацию. Чтобы добиться
вышеописанного, нужно будет руками прописать в настройках sudo
параметр NOPASSWD; в остальных случаях от вас потребую пароль
_пользователя_. Вы полагаете, что все эти действия можно
проделать случайно?

в) запустить через меню "Файловый менеджер - режим
суперпользователя" - от вас потребуют ввести пароль рута в
выскочившем окошке. Где здесь _случайность_?

г) запустить ее через Alt-F2, Параметры -> Запустить от имени
другого пользователя, и опять же ввести пароль root. Про
_случайность_ такого запуска даже говорить неловко.

>Я, наоборот, как раз и утверждаю то же самое: лишний барьер,
>который юзер всё равно может отключить - защиту нисколько не
>повышает. Так что Вы лишний раз подтвердили мои слова. :-)

Защиту _от_чего_? От человека, который _умышленно_ хочет
совершить что-то вредное? Разумеется не даст. А от человека,
_случайно_ совершившего ошибку, _даст_ - система просто сообщит
ему о нехватке прав.

Хорошо, скажите сами - предохранитель на пистолете нужен или нет?
По вашей логике: нет, не нужен - ведь пистолет можно с
предохранителя снять. И застрелиться можно, и соседа прикончить.
Но почему-то на все огнестрельное оружие предохранители тем не
менее ставят. Согласитесь - _случайно_ отстрелить себе я..а,
положив пистолет в карман и нечаянно зацепив спуск, в это случае
все же сложнее.

С уважением,
Сергей

[Comm] Re: Alt Linux Master 2.2 Problems

[Michael Shigorin]

On Mon, May 12, 2003 at 11:06:54PM +0400, Alexandr A. Alexandrov wrote:
> Может, объясните мне разницу, чем отличается запуск rm /* -f,
> выполненный от рута, от sudo rm /* -f, выполненного от
> пользователя? Если человек знает рутовый пароль - то нет
> большой разницы, как он его применяет.

Если оба запуска выполняются сфокусировавшимся на них человеком
-- разница небольшая (хотя пароли как раз разные, FYI).

Но при работе в сложном окружении сфокусироваться на том, что
происходит где-то "под капотом" -- невозможно.

PS: от случайных rm * (в частности, rm ~ *) может помочь zsh.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re[4]: [Comm] Alt Linux Master 2.2 Problems

[Alexandr A. Alexandrov]

Доброго времени суток!

Wednesday, May 14, 2003, 6:27:15 PM, you wrote:

>> Вот тут поподробней. Что значит - _случайной_? Человек может
>> точно так же случайно запустить какой-нибудь файловый менеджер
>> от рута и грохнуть системный каталог - независимо от того,
>> запущены иксы от рута или нет.

SK> ????? 

SK> СЛУЧАЙНО запустить что-то от рута, работая в Иксах, запущенных от
SK> _пользователя_ - как вы это себе представляете? Для этого надо:

  Вот именно, что не представляю. Термин "случайно" Вы употребили, я
лишь выступил против него.

>>Я, наоборот, как раз и утверждаю то же самое: лишний барьер,
>>который юзер всё равно может отключить - защиту нисколько не
>>повышает. Так что Вы лишний раз подтвердили мои слова. :-)

SK> Защиту _от_чего_? От человека, который _умышленно_ хочет
SK> совершить что-то вредное? Разумеется не даст. А от человека,
SK> _случайно_ совершившего ошибку, _даст_ - система просто сообщит
SK> ему о нехватке прав.

SK> Хорошо, скажите сами - предохранитель на пистолете нужен или нет?
SK> По вашей логике: нет, не нужен - ведь пистолет можно с
SK> предохранителя снять. И застрелиться можно, и соседа прикончить.
SK> Но почему-то на все огнестрельное оружие предохранители тем не
SK> менее ставят. Согласитесь - _случайно_ отстрелить себе я..а,
SK> положив пистолет в карман и нечаянно зацепив спуск, в это случае
SK> все же сложнее.

  Сергей, Вы второй раз говорите то же самое. Хорошо, я второй раз
отвечу. Предохранитель нужен. Но это вовсе не повод кричать "оружие
без предохранителя - это зло, ибо все погибнут".

  Я же не говорю, что работать из иксов, запущенных рутом - правильно.
Просто в рассылке очень много раздаётся криков о мифической опасности
- "нельзя, и всё тут", "религия не позволяет" и т.д. А ведь, насколько
пока ясно, дело просто в том, что нет одного барьера, одного из
предупреждений.
  В этой связи совершенно неясно, почему, собственно, такие же
рогатки, которые ставятся пользователю, запустившему иксы от рута, не
ставятся пользователю, запустившему от рута тот или иной шелл. По
Вашей логике - случаи равнозначные. Где разница, скажите?

-- 
С уважением,
 Александр                            mailto:aaa@inreco.ru

Девиз дня: Русскя речь без мата превращается в доклад.

[Comm] Re: Alt Linux Master 2.2 Problems

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 1140 bytes --]

On Thu, May 15, 2003 at 12:22:51AM +0400, Alexandr A. Alexandrov wrote:
>   Я же не говорю, что работать из иксов, запущенных рутом - правильно.
> Просто в рассылке очень много раздаётся криков о мифической опасности
> - "нельзя, и всё тут", "религия не позволяет" и т.д. А ведь, насколько
> пока ясно, дело просто в том, что нет одного барьера, одного из
> предупреждений.

flame {
	хватит бузить!
}

Просто не нужно пускать иксы от рута, и всё тут.  Чем больше код,
который работает от рута, тем больше уязвимость системы.  В иксах + 
wm + ... кода на два порядка больше, чем в /bin/bash.  Если же вы
запустили иксы от рута и у вас что-то не работает, а вы не можете
разобраться почему, -- это значит только одно: вам тем более не стоит
запускать иксы от рута.

>   В этой связи совершенно неясно, почему, собственно, такие же
> рогатки, которые ставятся пользователю, запустившему иксы от рута, не

Никаких рогаток нет.  Просто иксы не предназначены для запуска от рута,
о чем при входе вам честно сообщают.

> ставятся пользователю, запустившему от рута тот или иной шелл. По
> Вашей логике - случаи равнозначные. Где разница, скажите?

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: Alt Linux Master 2.2 Problems

[Michael Shigorin]

On Thu, May 15, 2003 at 12:22:51AM +0400, Alexandr A. Alexandrov wrote:
> В этой связи совершенно неясно, почему, собственно, такие же
> рогатки, которые ставятся пользователю, запустившему иксы от
> рута, не ставятся пользователю, запустившему от рута тот или
> иной шелл. По Вашей логике - случаи равнозначные. Где разница,
> скажите?

В том, что шелл -- гораздо более компактный и простой объект для
контроля человеком.

Например, Вы даже не заметили, что в этом шелле (имени su -)
локаль также вовсе не местная; в графической системе же она
оказывает гораздо большее влияние на воспринимаемое удобство
работы.

Это как ложка дегтя или бочка дегтя -- понимаете?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Alt Linux Master 2.2 Problems

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 388 bytes --]

On Sun, May 11, 2003 at 10:19:17PM +0200, Grigory Tuboltsev wrote:
> Никогда не работайте в графическом режиме (в Х-ах) под пользователем
> root. В АльтЛинукс специально сделано все, чтобы под рутом в иксах
> работать было нельзя. И правильно сделано...

Это не совсем так.

В ALT Linux сделано так, чтобы по ошибке "под рутом в иксах работать было
нельзя. И правильно сделано."


--
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]