On Fri, Aug 29, 2003 at 05:01:24PM +0400, Oleg K. Artemjev wrote:
> это если Вам дадут что-то компилировать. =) На gcc и прочее тоже можно 
> не дать прав. С учетом того, что они никому кроме меня не доллжны быть 

gcc можно достать из другого места и положить в ~/bin.

Чтобы этим нельзя было воспользоваться, нужно монтировать /home с noexec.
Но это значит, что вообще будет нельзя запускать свои бинари.  То есть
отпадает смысл вообще пользоваться базовыми средствами разработки.
Значит gcc в такой системе вообще быть не должно.

> нужны - так и надо поступить. =) Короче говоря как ни крути - удобнее
> было бы отбирать права если бы была утиль с файликами, как в сузе.

Нетнетнетнетнетнетнет... :)

Специальные требования к ограничениям в системе не распадаются на
"ничего", "средне" и "максимум".  Такой подход имеет только
конъюнктурные преимущества.  В сущности, как видно из вывода control(8)
на моей машине, имеет место комбинаторный рост вариантов настройки
системы.

Кроме того, как я уже пытался сказать, чаще всего ограничения прав
доступа на стандартные объекты ФС не увеличивают security по существу,
а могут лишь _немного_ усложнить задачу взлома.  Исключения составляют
suid/sgid executables.

> Ай-яй-яй - какое упущение - надо срочно исправить. ;-)))

:)