On Sat, Dec 28, 2002 at 10:00:25PM +0300, Dmitry V. Levin wrote:
> > 2) ср. "принцип минимальных привилегий".  Если минимальной
> >    привилегией для достаточно _обыденных_ в ряде случаев
> >    действий, которые не несут опасности с точки зрения
> >    администратора системы, является euid 0 -- это неправильно.
> Кто будет решать? Администратор?

Да.

Причем желательно в два этапа -- при установке "зажим" по
умолчанию определяется метаклассом ("сервер/стол"), плюс
изменяемо там же (в verbose install) и после установки (насколько
я понимаю, так и задумывается).

> > > Готов выслушать предложения того, что нужно брать под control.
> > В частности, /home.  В ряде случаев более оправданными на его
> > подкаталоги могут быть права 755 (при том, что мое обычное
> принято

(подумал про 711 для доступа к ~/public_html, но это делается per
user и с правами пользователя => spam)

> > Возможно, /var/spool/*.  По крайней мере в спеке leafnode мои
> > сомнения по этому поводу чуть-чуть отражены :-)
> подробнее про *

/var/spool/news:
- public: 775 root news
- restricted: 770 root news

Мотивация: *в принципе*, могут существовать per-host или
password-based ограничения на доступ к спулу посредством NNTP;
при текущей схеме (в leafnode, по крайней мере) вполне получится
читать из спула при наличии доступа к соотв. fs.

Пишу применительно к leafnode; хотелось бы услышать мнение
майнтейнера INN.  Костя, ау! :-)

По части g+w в случае leafnode: здесь надо иметь права создавать
каталоги в %_spooldir/news/ -- соотв. кто-то из user/group news
должен быть способен писать туда.

> > [to be cont'd]
> ждемс.

Возможно, осмысленно добавить вариант "o+r" для /var/spool/mail.
Мотивация: по site policy может быть несколько аккаунтов без прав
root, владельцы которых могут (...обязаны, заинтересованы...)
осуществлять общий мониторинг системы (пример -- osdn.org.ua).

Я постараюсь обойти местный знакомый хостмастерский люд, а тем
временем предложу всем майнтейнерам вспомнить, не было ли где
колебаний по части того, какие права уместны для заданного
файла/каталога -- и писать сюда.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/