From: Michael Shigorin <mike@osdn.org.ua> To: ALT Linux Sisyphus mailing list <sisyphus@altlinux.ru> Subject: [sisyphus] file/directory perms, security levels (was: control) Date: Sun, 29 Dec 2002 14:17:18 +0200 Message-ID: <20021229121718.GM85092@osdn.org.ua> (raw) In-Reply-To: <20021228190025.GE17861@basalt.office.altlinux.ru> [-- Attachment #1: Type: text/plain, Size: 2243 bytes --] On Sat, Dec 28, 2002 at 10:00:25PM +0300, Dmitry V. Levin wrote: > > 2) ср. "принцип минимальных привилегий". Если минимальной > > привилегией для достаточно _обыденных_ в ряде случаев > > действий, которые не несут опасности с точки зрения > > администратора системы, является euid 0 -- это неправильно. > Кто будет решать? Администратор? Да. Причем желательно в два этапа -- при установке "зажим" по умолчанию определяется метаклассом ("сервер/стол"), плюс изменяемо там же (в verbose install) и после установки (насколько я понимаю, так и задумывается). > > > Готов выслушать предложения того, что нужно брать под control. > > В частности, /home. В ряде случаев более оправданными на его > > подкаталоги могут быть права 755 (при том, что мое обычное > принято (подумал про 711 для доступа к ~/public_html, но это делается per user и с правами пользователя => spam) > > Возможно, /var/spool/*. По крайней мере в спеке leafnode мои > > сомнения по этому поводу чуть-чуть отражены :-) > подробнее про * /var/spool/news: - public: 775 root news - restricted: 770 root news Мотивация: *в принципе*, могут существовать per-host или password-based ограничения на доступ к спулу посредством NNTP; при текущей схеме (в leafnode, по крайней мере) вполне получится читать из спула при наличии доступа к соотв. fs. Пишу применительно к leafnode; хотелось бы услышать мнение майнтейнера INN. Костя, ау! :-) По части g+w в случае leafnode: здесь надо иметь права создавать каталоги в %_spooldir/news/ -- соотв. кто-то из user/group news должен быть способен писать туда. > > [to be cont'd] > ждемс. Возможно, осмысленно добавить вариант "o+r" для /var/spool/mail. Мотивация: по site policy может быть несколько аккаунтов без прав root, владельцы которых могут (...обязаны, заинтересованы...) осуществлять общий мониторинг системы (пример -- osdn.org.ua). Я постараюсь обойти местный знакомый хостмастерский люд, а тем временем предложу всем майнтейнерам вспомнить, не было ли где колебаний по части того, какие права уместны для заданного файла/каталога -- и писать сюда. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 187 bytes --]
next prev parent reply other threads:[~2002-12-29 12:17 UTC|newest] Thread overview: 16+ messages / expand[flat|nested] mbox.gz Atom feed top 2002-12-28 13:10 [sisyphus] Последнее обновление Aleksandr Blokhin 2002-12-28 13:27 ` [sisyphus] " Michael Shigorin 2002-12-28 13:32 ` Dmitry E. Oboukhov 2002-12-28 13:46 ` Michael Shigorin 2002-12-28 13:54 ` Dmitry E. Oboukhov 2002-12-28 15:13 ` Dmitry V. Levin 2002-12-28 17:10 ` [sisyphus] степени свободы (was: Последнее обновление) Michael Shigorin 2002-12-28 17:59 ` [sisyphus] control Dmitry V. Levin 2002-12-28 18:23 ` [sisyphus] control Michael Shigorin 2002-12-28 19:00 ` Dmitry V. Levin 2002-12-29 12:17 ` Michael Shigorin [this message] 2002-12-28 13:57 ` [sisyphus] Re: [sisyphus] Re: Последнее обновление Aleksandr Blokhin 2002-12-28 15:08 ` [sisyphus] " Dmitry V. Levin 2002-12-28 16:06 ` [sisyphus] " Aleksandr Blokhin 2002-12-28 18:03 ` Dmitry V. Levin 2002-12-28 19:30 ` [sisyphus] " Aleksandr Blokhin
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20021229121718.GM85092@osdn.org.ua \ --to=mike@osdn.org.ua \ --cc=sisyphus@altlinux.ru \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Sisyphus discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \ sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru public-inbox-index sisyphus Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sisyphus AGPL code for this site: git clone https://public-inbox.org/public-inbox.git