On Wed, Jan 17, 2001 at 06:11:11PM +0300, Maksim Otstavnov wrote: > MO>> Возможно, разумнее однозначно трактовать ситуацию с двумя > MO>> пользователями под одним UID как некорректную. > AKJ> Это же особенный UID.. В идеале конечно, root должен быть один, но на > AKJ> практике так не бывает, а такое решение дает свои преимущества > > Вполне возможно, что они кажущиеся. Практически в любой ситуации можно > найти решение делегированием прав на отдельные каталоги/файлы > администраторам, не являющимся суперпользователями, через механизм > групп. Я не говорил "в любой", я сказал "практически в любой", > обратите внимание. А с применением capabilities и sudo - тем более. > MO>> А ситуацию с двумя > MO>> UID==0 как серьезную дыру в безопасности хоста. > AKJ> Почему? Я согласен, что это ослабление безопасности по человеческому > AKJ> фактору, т.е. вдвое увеличивается вероятность слабого пароля например > AKJ> и т.д., но почему сразу - дыра? > > "Дыра" - это в нашей отрасли такой способ сказать "ослабление", чтобы > напугать собеседника/клиента. По большому счету, проблем от того, что > в юниксах есть _один_ рут - уже достаточно. Это само по себе > большая... ослабление. Конечно, не дыра, но weakness, на которую будут обращать Ваше внимание при любой возникающей проблеме. > MO>> (Извините, если что не так сказал, я в Linux новичок, но под старыми > MO>> юниксами это трактовалось так, и я не помню серьезных проблем, с этим > MO>> связанных). Все верно, если интересуют детали, то происходит pw = getpwuid(getuid()), в виду чего используется только одно username, а именно первое с данным UID. Думаю, не будет беды, если расширить этот алгоритм (грубо говоря) до pw = getpwnam(getenv(LOGNAME)) при условии (pw->pw_uid == getuid()). Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@fandra.org Software Engineer PGP pubkey http://www.fandra.org/users/ldv/pgpkeys.html IPLabs Linux Team http://linux.iplabs.ru Fandra Project http://www.fandra.org +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are.