From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Fri, 21 Dec 2001 12:51:35 +0300 From: "Dmitry V. Levin" To: ALT Linux Sisyphus mailing list Subject: Re: [sisyphus] I: tcb scheme implemented for Sisyphus Message-ID: <20011221095135.GA26492@ldv.office.alt-linux.org> Mail-Followup-To: ALT Linux Sisyphus mailing list References: <20011220152417.GA23407@ldv.office.alt-linux.org> <20011220225317.58e0cf7e.xmm@rambler.ru> Mime-Version: 1.0 Content-Type: multipart/signed; micalg=pgp-sha1; protocol="application/pgp-signature"; boundary="W/nzBZO5zC0uMSeA" Content-Disposition: inline In-Reply-To: <20011220225317.58e0cf7e.xmm@rambler.ru> X-fingerprint: 9658 398D 181B 1200 8FC5 26B8 F6F8 846B C1E2 3429 Sender: sisyphus-admin@altlinux.ru Errors-To: sisyphus-admin@altlinux.ru X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: sisyphus@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: List-Unsubscribe: , List-Archive: Archived-At: List-Archive: --W/nzBZO5zC0uMSeA Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit On Thu, Dec 20, 2001 at 10:53:17PM +0300, Marat Khairullin wrote: > > Вследствие этого программа, желающая проверять пароль текущего > > пользователя, должна быть sgid-chkpwd. > > Как быть с informix'ом (ver 7.x), который не умеет работать даже с обычным /etc/shadow? А зачем informix'у проверять системные пароли? Впрочем, это проблема informix (и Ваша, если выпала роль ответственного за безопасность такой системы). > Можно ли будет вырубить все это хозяйство? Ну вот, стоит сделать что-нибудь действительно хорошее, как сразу найдется желающий это все вырубить. :) Да, можно пользоваться /etc/shadow, см. документацию в пакетах *tcb*: tcb(5), pam_tcb(5), tcb_convert(8). Конфигурационные файлы, которые надо будет отредактировать: /etc/nsswitch.conf, /etc/login.defs, /etc/pam.d/system-auth* Файлы, права на которые надо изменить, приведены в первом письме. Согласитесь, не стоит отказываться от установки tcb по умолчанию только из-за того, что с ним может некорректно работать informix. > В SCO'тине в tcb засунуто еще и содержимое /etc/passwd и /etc/group и ~/.lastlogin . И /etc/group - Вы уверены? > А как в ALT'овском tcb? Помещение shadow в tcb - очень полезное решение прежде всего с точки зрения безопасности, которое при этом не "сломает" софт. Помещение passwd в tcb - гораздо менее важное для обеспечения безопасности решение, при том что количество "сломанного" софта может быть гораздо больше - слишком многие привыкли залезать в /etc/passwd ручками. > Уж слишком много приходилось на SCO'тине править ручками, если что-то падало ... Какое это имеет отношение к нашему tcb? Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@alt-linux.org ALT Linux Team http://www.altlinux.ru/ Fandra Project http://www.fandra.org/ +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. --W/nzBZO5zC0uMSeA Content-Type: application/pgp-signature Content-Disposition: inline -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE8IwYn9viEa8HiNCkRAhtoAJ9OLjieH2GAo+6j14ydGB5lOd8legCdESxM 2QCaAQLjk6+ieaQcbymQopI= =QekA -----END PGP SIGNATURE----- --W/nzBZO5zC0uMSeA--