* [mdk-re] RPM & root Подскажите...
@ 2001-05-22 11:15 Диконов Вячеслав
2001-05-22 11:31 ` [mdk-re] " Alexander Bokovoy
` (5 more replies)
0 siblings, 6 replies; 16+ messages in thread
From: Диконов Вячеслав @ 2001-05-22 11:15 UTC (permalink / raw)
To: mandrake-russian
Уважаемый AEN
Напишите пожалуйста чуть подробнее о том, как включить макрос
_allow_root_build_. О нем есть лишь одно туманное упоминание в документации,
и RPM ругается что "macro has no body", а я не знаю что там должно быть.
В Всн2001 невозможно сразу делать пакеты. Я первым делом добавил
себя-пользователя в группы rpm и rpminst и получил:
а) создание rpm: - каталог /usr/src/RPM/* не существует. Потом разобрался,
что это моя вина - не было пакета rpm-build. Но даже с ним делать оные
пакеты без полного доступа во все каталоги - очень неудобно. Приходится
держать кучу открытых терминалов с su и без и мучиться. К тому же многие
созданные под пользователем пакеты при установке орут что пользователя
такого на этой машине нет - ошибка ошибка... Неприятно все это.
б) А вот это уже ни в какие ворота. Здравый смысл гласит: "Раз руту
заниматься пакетами вообще не положено то пусть и устанавливает их
пользователь он ведь в группе rpminst?". Ничего подобного! Доступ к базе rpm
отсутствует!
Итак:
Мне вообще не нужна "безопасность" от меня самого которую мне навязывают. У
меня ДОМАШНЯЯ ОДНОПОЛЬЗОВАТЕЛЬСКАЯ машина. И все админы по моему глубокому
убеждению - маньяки а сервера надо на свалку :). А если серьёзно, я уже
проклял все на свете заменив Mdk70RE на Весну2001 и получив вместе с тортом
бочку навоза в виде назойливых ограничений и проблем на пустом месте которых
не было раньше. У меня сессия и надо дисер писать совсем не по технической
специальности, а пришлось угробить 2 дня на составление длинных скриптов
переконфигурирующих систему, борьбу с menu (еще та гадость), который убивал
насмерть все мои пункты и восстанавливал НЕУДОБНЕЙШУЮ иерархию из Mdk и т.д.
Кончится тем что поставлю chmod -R 777 /*.
Надо иметь уровень безопасности для ДОМАШНИХ МАШИН наряду со всякими
серверными. Скажем msec 1 который бы разрешал ВСЕ кроме удаления данных
другого пользователя и стирания ключевых системных файлов.
Иначе выходит что безопасность хваленая, вылезающая там где не надо,
превращает систему в игрушку, на настройку которой и решение ее дебильных
проблем уходит все время. Вот нормальных средств конфигурации так и не
сделали и даже не пытались а маразм (безопасность) все крепчает. Этак
Линуксу в рабочие и домашние машинки никогда не пробиться.
^ permalink raw reply [flat|nested] 16+ messages in thread
* [mdk-re] Re: [mdk-re] RPM & root Подскажите...
2001-05-22 11:15 [mdk-re] RPM & root Подскажите Диконов Вячеслав
@ 2001-05-22 11:31 ` Alexander Bokovoy
2001-05-22 11:43 ` vic ismakaev
` (4 subsequent siblings)
5 siblings, 0 replies; 16+ messages in thread
From: Alexander Bokovoy @ 2001-05-22 11:31 UTC (permalink / raw)
To: mandrake-russian
On Tue, May 22, 2001 at 10:15:38AM +0300, Диконов Вячеслав wrote:
> Уважаемый AEN
>
> Напишите пожалуйста чуть подробнее о том, как включить макрос
> _allow_root_build_. О нем есть лишь одно туманное упоминание в документации,
> и RPM ругается что "macro has no body", а я не знаю что там должно быть.
>
>
> В Всн2001 невозможно сразу делать пакеты. Я первым делом добавил
> себя-пользователя в группы rpm и rpminst и получил:
> а) создание rpm: - каталог /usr/src/RPM/* не существует. Потом разобрался,
> что это моя вина - не было пакета rpm-build. Но даже с ним делать оные
> пакеты без полного доступа во все каталоги - очень неудобно. Приходится
> держать кучу открытых терминалов с su и без и мучиться. К тому же многие
> созданные под пользователем пакеты при установке орут что пользователя
> такого на этой машине нет - ошибка ошибка... Неприятно все это.
У Вас напутаны здесь несколько проблем.
1. Для сборки rpm-пакетов действительно необходимо создать окружение,
поставив rpm-build. После его установки у Вас в /usr/src/RPM/* каталоги
получат атрибут sgid и разрешение на запись группе RPM, чего достаточно
для работы в этих каталогах с файлами.
2. В секции %files SPEC-файла необходимо указывать атрибуты
файлов/каталогов, которые должны быть в результирующем пакете. К ним в том
числе относятся и права владения. Если Вы их не указали (%attr или
%defattr), то берутся права владения файлов из $RPM_BUILD_ROOT.
--
Sincerely yours, Alexander Bokovoy
The Midgard Project | ALT Linux Team | Minsk Linux Users Group
www.midgard-project.org | www.altlinux.ru | www.minsk-lug.net
-- You won't skid if you stay in a rut.
-- Frank Hubbard
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [mdk-re] RPM & root Подскажите...
2001-05-22 11:15 [mdk-re] RPM & root Подскажите Диконов Вячеслав
2001-05-22 11:31 ` [mdk-re] " Alexander Bokovoy
@ 2001-05-22 11:43 ` vic ismakaev
2001-05-22 11:55 ` [mdk-re] " Alexander Bokovoy
2001-05-22 12:11 ` Dmitry V. Levin
2001-05-22 11:54 ` [mdk-re] Мне вообще не нужна "безопасность" Sergey S. Skulachenko
` (3 subsequent siblings)
5 siblings, 2 replies; 16+ messages in thread
From: vic ismakaev @ 2001-05-22 11:43 UTC (permalink / raw)
To: mandrake-russian
22 Май 2001 13:15, Вы написали:
> Уважаемый AEN
>
> Напишите пожалуйста чуть подробнее о том, как включить макрос
> _allow_root_build_. О нем есть лишь одно туманное упоминание в
> документации, и RPM ругается что "macro has no body", а я не знаю что там
> должно быть.
>
>
> В Всн2001 невозможно сразу делать пакеты. Я первым делом добавил
> себя-пользователя в группы rpm и rpminst и получил:
> а) создание rpm: - каталог /usr/src/RPM/* не существует. Потом разобрался,
> что это моя вина - не было пакета rpm-build. Но даже с ним делать оные
> пакеты без полного доступа во все каталоги - очень неудобно. Приходится
> держать кучу открытых терминалов с su и без и мучиться. К тому же многие
> созданные под пользователем пакеты при установке орут что пользователя
> такого на этой машине нет - ошибка ошибка... Неприятно все это.
Отвечу на этот вопрос, как мне уже ответили.
-Заводите себя в группу RPM
-Ставите rpm-build
-делаете в своем дом. каталоге иерархию каталогов RPM по подобию /usr/src/RPM
(те же права к каталогам, владелец - Вы)
-в каталоге /home/user/RPM создаете каталог TMP.
-кидаете в хомес файл .rpmmacros вида:
-------------
%_topdir /home/vic/RPM
%_tmppath %{_topdir}/TMP
--------------
Все. Этого достаточно для построения бинарных RPM .Что немаловажно - под
своим аккаунтом.
--
С уважением
Виктор В Исмакаев
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [mdk-re] Мне вообще не нужна "безопасность"
2001-05-22 11:15 [mdk-re] RPM & root Подскажите Диконов Вячеслав
2001-05-22 11:31 ` [mdk-re] " Alexander Bokovoy
2001-05-22 11:43 ` vic ismakaev
@ 2001-05-22 11:54 ` Sergey S. Skulachenko
2001-05-22 12:04 ` [mdk-re] Re: [mdk-re] Мне вообще не нужна " безопасность" cornet
2001-05-22 12:41 ` [mdk-re] Re: [mdk-re] RPM & root Подскажите Mikhail Zabaluev
` (2 subsequent siblings)
5 siblings, 1 reply; 16+ messages in thread
From: Sergey S. Skulachenko @ 2001-05-22 11:54 UTC (permalink / raw)
To: mandrake-russian
On Tue, 22 May 2001 10:15:38 +0300
Диконов Вячеслав <sdiconov@mail.ru> wrote:
> Итак:
> Мне вообще не нужна "безопасность" от меня самого которую мне
> навязывают. У
> меня ДОМАШНЯЯ ОДНОПОЛЬЗОВАТЕЛЬСКАЯ машина. И все админы по моему
> глубокому
> убеждению - маньяки а сервера надо на свалку :).
Вячеслав!
Недавно на домашнем сервере, работая в консоли с su, я (человек очень
собранный и аккуратный) допустил такую ошибку. Мне понадобилось удалить
раздел /sylpheed. С изумлением я обнаружил, что он почему-то остался цел.
Разобрался быстро - я снёс /sbin.
А теперь прочтите своё письмо ещё раз. Последний абзац несколько раз. И
подумайте, стоит ли Вашими (сами знаете какими) проблемами грузить
разработчиков.
С уважением,
С.С.Скулаченко
^ permalink raw reply [flat|nested] 16+ messages in thread
* [mdk-re] Re: [mdk-re] RPM & root Подскажите...
2001-05-22 11:43 ` vic ismakaev
@ 2001-05-22 11:55 ` Alexander Bokovoy
2001-05-22 12:11 ` Dmitry V. Levin
1 sibling, 0 replies; 16+ messages in thread
From: Alexander Bokovoy @ 2001-05-22 11:55 UTC (permalink / raw)
To: mandrake-russian
On Tue, May 22, 2001 at 01:51:33PM +0600, vic ismakaev wrote:
> 22 Май 2001 13:15, Вы написали:
> > Уважаемый AEN
> >
> > Напишите пожалуйста чуть подробнее о том, как включить макрос
> > _allow_root_build_. О нем есть лишь одно туманное упоминание в
> > документации, и RPM ругается что "macro has no body", а я не знаю что там
> > должно быть.
> >
> >
> > В Всн2001 невозможно сразу делать пакеты. Я первым делом добавил
> > себя-пользователя в группы rpm и rpminst и получил:
> > а) создание rpm: - каталог /usr/src/RPM/* не существует. Потом разобрался,
> > что это моя вина - не было пакета rpm-build. Но даже с ним делать оные
> > пакеты без полного доступа во все каталоги - очень неудобно. Приходится
> > держать кучу открытых терминалов с su и без и мучиться. К тому же многие
> > созданные под пользователем пакеты при установке орут что пользователя
> > такого на этой машине нет - ошибка ошибка... Неприятно все это.
> Отвечу на этот вопрос, как мне уже ответили.
> -Заводите себя в группу RPM
> -Ставите rpm-build
> -делаете в своем дом. каталоге иерархию каталогов RPM по подобию /usr/src/RPM
> (те же права к каталогам, владелец - Вы)
> -в каталоге /home/user/RPM создаете каталог TMP.
> -кидаете в хомес файл .rpmmacros вида:
> -------------
> %_topdir /home/vic/RPM
> %_tmppath %{_topdir}/TMP
> --------------
> Все. Этого достаточно для построения бинарных RPM .Что немаловажно - под
> своим аккаунтом.
Опять-таки, все, начиная с третьей позиции в списке, является
опциональным.
--
Sincerely yours, Alexander Bokovoy
The Midgard Project | ALT Linux Team | Minsk Linux Users Group
www.midgard-project.org | www.altlinux.ru | www.minsk-lug.net
-- You won't skid if you stay in a rut.
-- Frank Hubbard
^ permalink raw reply [flat|nested] 16+ messages in thread
* [mdk-re] Re: [mdk-re] Мне вообще не нужна " безопасность"
2001-05-22 11:54 ` [mdk-re] Мне вообще не нужна "безопасность" Sergey S. Skulachenko
@ 2001-05-22 12:04 ` cornet
2001-05-22 21:47 ` Igor Solovyov
` (2 more replies)
0 siblings, 3 replies; 16+ messages in thread
From: cornet @ 2001-05-22 12:04 UTC (permalink / raw)
To: mandrake-russian
"Sergey S. Skulachenko" wrote:
>
> On Tue, 22 May 2001 10:15:38 +0300
> Диконов Вячеслав <sdiconov@mail.ru> wrote:
>
> > Итак:
> > Мне вообще не нужна "безопасность" от меня самого которую мне
> > навязывают. У
> > меня ДОМАШНЯЯ ОДНОПОЛЬЗОВАТЕЛЬСКАЯ машина. И все админы по моему
> > глубокому
> > убеждению - маньяки а сервера надо на свалку :).
>
> Вячеслав!
> Недавно на домашнем сервере, работая в консоли с su, я (человек очень
> собранный и аккуратный) допустил такую ошибку. Мне понадобилось удалить
> раздел /sylpheed. С изумлением я обнаружил, что он почему-то остался цел.
> Разобрался быстро - я снёс /sbin.
> А теперь прочтите своё письмо ещё раз. Последний абзац несколько раз. И
> подумайте, стоит ли Вашими (сами знаете какими) проблемами грузить
> разработчиков.
> С уважением,
> С.С.Скулаченко
Подтверждаю - сам неоднократно сносил с дуру пол системы работая от
root'а :-))
--
******** FIRE & STEEL ********
^ permalink raw reply [flat|nested] 16+ messages in thread
* [mdk-re] Re: [mdk-re] RPM & root Подскажите...
2001-05-22 11:43 ` vic ismakaev
2001-05-22 11:55 ` [mdk-re] " Alexander Bokovoy
@ 2001-05-22 12:11 ` Dmitry V. Levin
1 sibling, 0 replies; 16+ messages in thread
From: Dmitry V. Levin @ 2001-05-22 12:11 UTC (permalink / raw)
To: ALT Linux Spring mailing list
[-- Attachment #1: Type: text/plain, Size: 2343 bytes --]
On Tue, May 22, 2001 at 01:51:33PM +0600, vic ismakaev wrote:
> > Напишите пожалуйста чуть подробнее о том, как включить макрос
> > _allow_root_build_. О нем есть лишь одно туманное упоминание в
> > документации, и RPM ругается что "macro has no body", а я не знаю что там
> > должно быть.
> >
> >
> > В Всн2001 невозможно сразу делать пакеты. Я первым делом добавил
> > себя-пользователя в группы rpm и rpminst и получил:
> > а) создание rpm: - каталог /usr/src/RPM/* не существует. Потом разобрался,
> > что это моя вина - не было пакета rpm-build. Но даже с ним делать оные
> > пакеты без полного доступа во все каталоги - очень неудобно. Приходится
> > держать кучу открытых терминалов с su и без и мучиться. К тому же многие
> > созданные под пользователем пакеты при установке орут что пользователя
> > такого на этой машине нет - ошибка ошибка... Неприятно все это.
> Отвечу на этот вопрос, как мне уже ответили.
> -Заводите себя в группу RPM
> -Ставите rpm-build
> -делаете в своем дом. каталоге иерархию каталогов RPM по подобию /usr/src/RPM
> (те же права к каталогам, владелец - Вы)
> -в каталоге /home/user/RPM создаете каталог TMP.
> -кидаете в хомес файл .rpmmacros вида:
> -------------
> %_topdir /home/vic/RPM
> %_tmppath %{_topdir}/TMP
> --------------
> Все. Этого достаточно для построения бинарных RPM .Что немаловажно - под
> своим аккаунтом.
Небольшой комментарий для прояснения ситуации:
Вносить пользователя в группу rpm нужно в том и только в том случае, если
ему необходим доступ по записи в дерево /usr/src/RPM (т.е. если ему
предстоит собирать пакеты в системном разделе).
Заполнять файл ~/.rpmmacros макросами %_topdir и %_tmppath нужно в том и
только в том случае, если пользователю предстоит собирать пакеты в личном
дереве, который надо создать по образу и подобию /usr/src/RPM.
Другими словами: либо группа rpm и стандартное дерево, либо макросы и
личное. А пакет rpm-build нужно установить в любом случае.
Regards,
Dmitry
+-------------------------------------------------------------------------+
Dmitry V. Levin mailto://ldv@alt-linux.org
ALT Linux Team http://www.altlinux.ru/
Fandra Project http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
^ permalink raw reply [flat|nested] 16+ messages in thread
* [mdk-re] Re: [mdk-re] RPM & root Подскажите...
2001-05-22 11:15 [mdk-re] RPM & root Подскажите Диконов Вячеслав
` (2 preceding siblings ...)
2001-05-22 11:54 ` [mdk-re] Мне вообще не нужна "безопасность" Sergey S. Skulachenko
@ 2001-05-22 12:41 ` Mikhail Zabaluev
2001-05-22 13:00 ` Dmitry V. Levin
2001-05-25 21:55 ` Michael Shigorin
2001-05-22 12:53 ` Dmitry V. Levin
2001-05-25 23:01 ` Michael Shigorin
5 siblings, 2 replies; 16+ messages in thread
From: Mikhail Zabaluev @ 2001-05-22 12:41 UTC (permalink / raw)
To: mandrake-russian
Hello Диконов,
On Tue, May 22, 2001 at 10:15:38AM +0300, Диконов Вячеслав wrote:
>
> Уважаемый AEN
>
> Напишите пожалуйста чуть подробнее о том, как включить макрос
> _allow_root_build_. О нем есть лишь одно туманное упоминание в документации,
> и RPM ругается что "macro has no body", а я не знаю что там должно быть.
>
>
> В Всн2001 невозможно сразу делать пакеты. Я первым делом добавил
> себя-пользователя в группы rpm и rpminst и получил:
> а) создание rpm: - каталог /usr/src/RPM/* не существует. Потом разобрался,
> что это моя вина - не было пакета rpm-build. Но даже с ним делать оные
> пакеты без полного доступа во все каталоги - очень неудобно. Приходится
> держать кучу открытых терминалов с su и без и мучиться. К тому же многие
> созданные под пользователем пакеты при установке орут что пользователя
> такого на этой машине нет - ошибка ошибка... Неприятно все это.
>
> б) А вот это уже ни в какие ворота. Здравый смысл гласит: "Раз руту
> заниматься пакетами вообще не положено то пусть и устанавливает их
> пользователь он ведь в группе rpminst?". Ничего подобного! Доступ к базе rpm
> отсутствует!
Установка здесь такая. Собирать пакеты долго, муторно и потенциально
опасно для системы. Это должен делать непривилегированный
пользователь, благо никакие административные привилегии при сборке
требоваться не должны. Если софт не желает собираться иначе, чем под
root, этот софт надо лечить. А вот при установке никуда не денешься -
нужно модифицировать систему. Признаться, я пока не выяснял
предназначение группы rpminst. У меня и без нее хорошо получается.
> Итак:
> Мне вообще не нужна "безопасность" от меня самого которую мне навязывают. У
> меня ДОМАШНЯЯ ОДНОПОЛЬЗОВАТЕЛЬСКАЯ машина. И все админы по моему глубокому
> убеждению - маньяки а сервера надо на свалку :). А если серьёзно, я уже
> проклял все на свете заменив Mdk70RE на Весну2001 и получив вместе с тортом
> бочку навоза в виде назойливых ограничений и проблем на пустом месте которых
> не было раньше.
В принципе, существует уровень безопасности 1. Но не знаю, работает ли
он так, как должен, в свете последних кафкианских изысков команды ;)
У меня сессия и надо дисер писать совсем не по технической
> специальности, а пришлось угробить 2 дня на составление длинных скриптов
> переконфигурирующих систему, борьбу с menu (еще та гадость), который убивал
> насмерть все мои пункты и восстанавливал НЕУДОБНЕЙШУЮ иерархию из Mdk и т.д.
> Кончится тем что поставлю chmod -R 777 /*.
Есть подозрение, что вы изо всех сил идете против течения.
Конфигурационные файлы menu находятся в /usr/lib/menu и доступны для
редактирования. Есть, правда, одно "но": они не помечены в rpm как
%config и будут безусловно обновляться с каждой переустановкой
системы. Кстати, а мне кажется, иерархия меню здесь - одна из самых
удачных. Или вы любите тот кошмар, который создается в Windows по
умолчанию - все валят свои папки/кнопки в верхний уровень меню или
скромно группируют их по имени фирмы-производителя? *Hint hint*: в
GNOME есть подменю "Предпочтения", где можно выстроить свою иерархию и
никто на нее не покусится. Это меню можно распахнуть в главное меню, а
системное, наоборот, убрать в подпункт. Не хочешь как лучше - делай
как удобно :) Не скажу за KDE, но думается, там тоже сделано с умом.
Объясните мне, зачем вам длинные скрипты, переконфигурирующие систему?
Мне за все время работы с Mdk RE - Spring никаких жутких скриптов
писать не пришлось. Править - это да. Если ваша машина хоть иногда
выходит в сеть или если на ней запускаются программы, принесенные
извне, рекомендую вам вникнуть в принципы построения системы прежде,
чем пытаться их нарушить.
> Надо иметь уровень безопасности для ДОМАШНИХ МАШИН наряду со всякими
> серверными. Скажем msec 1 который бы разрешал ВСЕ кроме удаления данных
> другого пользователя и стирания ключевых системных файлов.
Чего же не дает сделать msec 1? Править системные файлы, как вы сами
сказали, не нужно - для этого есть root. Устанавливать пакеты - тоже
не для пользователя. Что еще?
> Иначе выходит что безопасность хваленая, вылезающая там где не надо,
> превращает систему в игрушку, на настройку которой и решение ее дебильных
> проблем уходит все время. Вот нормальных средств конфигурации так и не
> сделали и даже не пытались а маразм (безопасность) все крепчает. Этак
> Линуксу в рабочие и домашние машинки никогда не пробиться.
Практика показывает, что нельзя сделать максимально удобно всем. А
основная целевая аудитория Linux на сегодняшний день - админы и хакеры
с бугристыми лобными долями (образ позаимствован у ESR) :)
--
Stay tuned,
MhZ JID: mookid@jabber.org
___________
FORTUNE'S FUN FACTS TO KNOW AND TELL: #44
Zebras are colored with dark stripes on a light background.
^ permalink raw reply [flat|nested] 16+ messages in thread
* [mdk-re] Re: [mdk-re] RPM & root Подскажите...
2001-05-22 11:15 [mdk-re] RPM & root Подскажите Диконов Вячеслав
` (3 preceding siblings ...)
2001-05-22 12:41 ` [mdk-re] Re: [mdk-re] RPM & root Подскажите Mikhail Zabaluev
@ 2001-05-22 12:53 ` Dmitry V. Levin
2001-05-25 23:01 ` Michael Shigorin
5 siblings, 0 replies; 16+ messages in thread
From: Dmitry V. Levin @ 2001-05-22 12:53 UTC (permalink / raw)
To: ALT Linux Spring mailing list
[-- Attachment #1: Type: text/plain, Size: 3977 bytes --]
On Tue, May 22, 2001 at 10:15:38AM +0300, Диконов Вячеслав wrote:
> Напишите пожалуйста чуть подробнее о том, как включить макрос
> _allow_root_build_. О нем есть лишь одно туманное упоминание в документации,
> и RPM ругается что "macro has no body", а я не знаю что там должно быть.
Синтаксис таков:
rpm --define 'имя_макроса значение_макроса' прочие_аргументы_rpm
> В Всн2001 невозможно сразу делать пакеты. Я первым делом добавил
> себя-пользователя в группы rpm и rpminst и получил:
> а) создание rpm: - каталог /usr/src/RPM/* не существует. Потом разобрался,
> что это моя вина - не было пакета rpm-build. Но даже с ним делать оные
Что нужно сделать для сборки пакетов, было рассказано в этом списке,
подробно и неоднократно.
> пакеты без полного доступа во все каталоги - очень неудобно. Приходится
> держать кучу открытых терминалов с su и без и мучиться. К тому же многие
Не надо - используйте sudo.
> созданные под пользователем пакеты при установке орут что пользователя
> такого на этой машине нет - ошибка ошибка... Неприятно все это.
Это значит, что в пакетах, которые Вы собираете, есть грубые ошибки в
использовании RPM_BUILD_ROOT.
Я Вам КАТЕГОРИЧЕСКИ не рекомендую собирать такие пакеты рутом.
> б) А вот это уже ни в какие ворота. Здравый смысл гласит: "Раз руту
> заниматься пакетами вообще не положено то пусть и устанавливает их
> пользователь он ведь в группе rpminst?". Ничего подобного! Доступ к базе rpm
> отсутствует!
Установка пакетов - дело более ответственное, чем сборка, ибо происходит
она всегда под рутом.
Вы можете предоставить пользователям, входящим в группу rpminst, запускать
rpm рутом c помощью sudo. За основу можно взять файл
/usr/share/doc/sudo-1.6.3p7/rpminst.sudoers
> Мне вообще не нужна "безопасность" от меня самого которую мне навязывают. У
> меня ДОМАШНЯЯ ОДНОПОЛЬЗОВАТЕЛЬСКАЯ машина. И все админы по моему глубокому
> убеждению - маньяки а сервера надо на свалку :). А если серьёзно, я уже
> проклял все на свете заменив Mdk70RE на Весну2001 и получив вместе с тортом
> бочку навоза в виде назойливых ограничений и проблем на пустом месте которых
> не было раньше. У меня сессия и надо дисер писать совсем не по технической
> специальности, а пришлось угробить 2 дня на составление длинных скриптов
> переконфигурирующих систему, борьбу с menu (еще та гадость), который убивал
> насмерть все мои пункты и восстанавливал НЕУДОБНЕЙШУЮ иерархию из Mdk и т.д.
> Кончится тем что поставлю chmod -R 777 /*.
Нет, Вы не правы. Прочитав Ваше сообщение, я вижу что Вам в первую очередь
нужна безопасность именно от себя самого, ибо Вы порой не ведаете, к каким
неприятным последствиям может привести то или иное Ваше действие. Прочтите
главу 6 руководства к дистрибутиву.
> Надо иметь уровень безопасности для ДОМАШНИХ МАШИН наряду со всякими
> серверными. Скажем msec 1 который бы разрешал ВСЕ кроме удаления данных
> другого пользователя и стирания ключевых системных файлов.
Это есть бред.
> Иначе выходит что безопасность хваленая, вылезающая там где не надо,
> превращает систему в игрушку, на настройку которой и решение ее дебильных
> проблем уходит все время. Вот нормальных средств конфигурации так и не
> сделали и даже не пытались а маразм (безопасность) все крепчает. Этак
> Линуксу в рабочие и домашние машинки никогда не пробиться.
Это отчаянный крик пользователя, который не хочет понимать, как
работает система, наивно полагая, что она сама собой станет себя вести
именно так, как, по его разумению, она должна себя вести.
Пользователю нужно решать свои конкретные задачи, а не выворачивать
операционную систему наизнанку.
Regards,
Dmitry
+-------------------------------------------------------------------------+
Dmitry V. Levin mailto://ldv@alt-linux.org
ALT Linux Team http://www.altlinux.ru/
Fandra Project http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
^ permalink raw reply [flat|nested] 16+ messages in thread
* [mdk-re] Re: [mdk-re] RPM & root Подскажите...
2001-05-22 12:41 ` [mdk-re] Re: [mdk-re] RPM & root Подскажите Mikhail Zabaluev
@ 2001-05-22 13:00 ` Dmitry V. Levin
2001-05-25 21:55 ` Michael Shigorin
1 sibling, 0 replies; 16+ messages in thread
From: Dmitry V. Levin @ 2001-05-22 13:00 UTC (permalink / raw)
To: ALT Linux Spring mailing list
[-- Attachment #1: Type: text/plain, Size: 1245 bytes --]
On Tue, May 22, 2001 at 12:57:05PM +0400, Mikhail Zabaluev wrote:
> > б) А вот это уже ни в какие ворота. Здравый смысл гласит: "Раз руту
> > заниматься пакетами вообще не положено то пусть и устанавливает их
> > пользователь он ведь в группе rpminst?". Ничего подобного! Доступ к базе rpm
> > отсутствует!
>
> Установка здесь такая. Собирать пакеты долго, муторно и потенциально
> опасно для системы. Это должен делать непривилегированный
> пользователь, благо никакие административные привилегии при сборке
> требоваться не должны. Если софт не желает собираться иначе, чем под
> root, этот софт надо лечить. А вот при установке никуда не денешься -
> нужно модифицировать систему. Признаться, я пока не выяснял
> предназначение группы rpminst. У меня и без нее хорошо получается.
Группа rpminst - это заготовка под
/usr/share/doc/sudo-1.6.3p7/rpminst.sudoers
Regards,
Dmitry
+-------------------------------------------------------------------------+
Dmitry V. Levin mailto://ldv@alt-linux.org
ALT Linux Team http://www.altlinux.ru/
Fandra Project http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [mdk-re] Re: [mdk-re] Мне вообще не нужна " безопасность"
2001-05-22 12:04 ` [mdk-re] Re: [mdk-re] Мне вообще не нужна " безопасность" cornet
@ 2001-05-22 21:47 ` Igor Solovyov
2001-05-22 22:52 ` Dmitry V. Levin
2001-05-22 22:39 ` [mdk-re] " Alexey Voinov
2001-05-25 22:06 ` Michael Shigorin
2 siblings, 1 reply; 16+ messages in thread
From: Igor Solovyov @ 2001-05-22 21:47 UTC (permalink / raw)
To: mandrake-russian
Hi!
On Tue, 22 May 2001 12:12:31 +0400
cornet <cornet@zmail.ru> wrote:
> > Вячеслав!
> > Недавно на домашнем сервере, работая в консоли с su, я (человек очень
> > собранный и аккуратный) допустил такую ошибку. Мне понадобилось
> удалить
> > раздел /sylpheed. С изумлением я обнаружил, что он почему-то остался
> цел.
> > Разобрался быстро - я снёс /sbin.
> > А теперь прочтите своё письмо ещё раз. Последний абзац несколько раз.
> И
> > подумайте, стоит ли Вашими (сами знаете какими) проблемами грузить
> > разработчиков.
> > С уважением,
> > С.С.Скулаченко
>
> Подтверждаю - сам неоднократно сносил с дуру пол системы работая от
> root'а :-))
Ага и я попался однажды классически (прям как в книжке):
находясь в каталоге /etc хотел дать коммандочку rm -f *.rpmsave,
вот тут меня и подвели ручки мои шаловливые. :-))))
Сам не понял как я вместо точки пробел нажал.
Получилось: rm -f * rpmsave
Здорово однако получилось. :-))))
--
Best regards!
Igor Solovyov
Zlatoust, Russia
^ permalink raw reply [flat|nested] 16+ messages in thread
* [mdk-re] Re: [mdk-re] Re: [mdk-re] Мне вообще не нужна " безопасность"
2001-05-22 12:04 ` [mdk-re] Re: [mdk-re] Мне вообще не нужна " безопасность" cornet
2001-05-22 21:47 ` Igor Solovyov
@ 2001-05-22 22:39 ` Alexey Voinov
2001-05-25 22:06 ` Michael Shigorin
2 siblings, 0 replies; 16+ messages in thread
From: Alexey Voinov @ 2001-05-22 22:39 UTC (permalink / raw)
To: mandrake-russian
cornet wrote
> > > Итак:
> > > Мне вообще не нужна "безопасность" от меня самого которую мне
> > > навязывают. У
> > > меня ДОМАШНЯЯ ОДНОПОЛЬЗОВАТЕЛЬСКАЯ машина. И все админы по моему
> > > глубокому
> > > убеждению - маньяки а сервера надо на свалку :).
> > Вячеслав!
> > Недавно на домашнем сервере, работая в консоли с su, я (человек очень
> > собранный и аккуратный) допустил такую ошибку. Мне понадобилось удалить
> > раздел /sylpheed. С изумлением я обнаружил, что он почему-то остался цел.
> > Разобрался быстро - я снёс /sbin.
> > А теперь прочтите своё письмо ещё раз. Последний абзац несколько раз. И
> > подумайте, стоит ли Вашими (сами знаете какими) проблемами грузить
> > разработчиков.
> > С уважением,
> > С.С.Скулаченко
> Подтверждаю - сам неоднократно сносил с дуру пол системы работая от
> root'а :-))
Угу.
Спасло только то, что происходило это по F8 в mc, и за время пока он
делал список файлов, которые он хочет удалить успел среагировать. :)
(с тех пор sudo bash и mc использую крайне редко :))
--
Best Regards!
Alexey Voinov
voins@voins.program.ru
voins@online.ru
^ permalink raw reply [flat|nested] 16+ messages in thread
* [mdk-re] Re: [mdk-re] Мне вообще не нужна " безопасность"
2001-05-22 21:47 ` Igor Solovyov
@ 2001-05-22 22:52 ` Dmitry V. Levin
0 siblings, 0 replies; 16+ messages in thread
From: Dmitry V. Levin @ 2001-05-22 22:52 UTC (permalink / raw)
To: ALT Linux Spring mailing list
[-- Attachment #1: Type: text/plain, Size: 1601 bytes --]
On Tue, May 22, 2001 at 11:53:46PM +0600, Igor Solovyov wrote:
> > > Недавно на домашнем сервере, работая в консоли с su, я (человек очень
> > > собранный и аккуратный) допустил такую ошибку. Мне понадобилось
> > удалить
> > > раздел /sylpheed. С изумлением я обнаружил, что он почему-то остался
> > цел.
> > > Разобрался быстро - я снёс /sbin.
> > > А теперь прочтите своё письмо ещё раз. Последний абзац несколько раз.
> > И
> > > подумайте, стоит ли Вашими (сами знаете какими) проблемами грузить
> > > разработчиков.
> > > С уважением,
> > > С.С.Скулаченко
> >
> > Подтверждаю - сам неоднократно сносил с дуру пол системы работая от
> > root'а :-))
>
> Ага и я попался однажды классически (прям как в книжке):
>
> находясь в каталоге /etc хотел дать коммандочку rm -f *.rpmsave,
> вот тут меня и подвели ручки мои шаловливые. :-))))
> Сам не понял как я вместо точки пробел нажал.
> Получилось: rm -f * rpmsave
> Здорово однако получилось. :-))))
Через такое прошли многие. Особенно если connect удаленный...
Правда, есть рецепт:
alias rm='rm -i' (по умолчанию),
rm *.rpmsave,
удостовериться, что предлагаемое к удалению похоже на правду,
SIGINT (ctrl-c), Up, дописываете в конец строки " -f", и удаляете файлы.
Regards,
Dmitry
+-------------------------------------------------------------------------+
Dmitry V. Levin mailto://ldv@alt-linux.org
ALT Linux Team http://www.altlinux.ru/
Fandra Project http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [mdk-re] Re: [mdk-re] RPM & root Подскажите...
2001-05-22 12:41 ` [mdk-re] Re: [mdk-re] RPM & root Подскажите Mikhail Zabaluev
2001-05-22 13:00 ` Dmitry V. Levin
@ 2001-05-25 21:55 ` Michael Shigorin
1 sibling, 0 replies; 16+ messages in thread
From: Michael Shigorin @ 2001-05-25 21:55 UTC (permalink / raw)
To: mandrake-russian
On Tue, 22 May 2001, Mikhail Zabaluev wrote:
[skip all the truth]
> Практика показывает, что нельзя сделать максимально удобно всем. А
> основная целевая аудитория Linux на сегодняшний день - админы и
> хакеры с бугристыми лобными долями (образ позаимствован у ESR) :)
Вот не надо =)
Я уже где-то рядом приводил противоположный пример.
Достаточно просто быть компьютерно-грамотным пошире "Нажмите Старт для
остановки системы", чтобы на _данном_ уровне развития того же ALT Linux
не испытывать существенных проблем с установкой, например.
На чем и спасибо.
PS: я лично ставлю всегда в expert, практически все нужные мне
возможности инсталятор предоставляет. Сильно не хватает, правда,
возможности манипулировать кол-вом inodes при mke2fs, ну да это тоже
делается ;-)
--
WBR, Michael Shigorin, webmaster of www.chem.univ.kiev.ua
>Home Page: http://visa.chem.univ.kiev.ua/~mike/ ICQ: 113344029
>Brainbench: http://www.brainbench.com/transcript.jsp?pid=2434729
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [mdk-re] Re: [mdk-re] Мне вообще не нужна " безопасность"
2001-05-22 12:04 ` [mdk-re] Re: [mdk-re] Мне вообще не нужна " безопасность" cornet
2001-05-22 21:47 ` Igor Solovyov
2001-05-22 22:39 ` [mdk-re] " Alexey Voinov
@ 2001-05-25 22:06 ` Michael Shigorin
2 siblings, 0 replies; 16+ messages in thread
From: Michael Shigorin @ 2001-05-25 22:06 UTC (permalink / raw)
To: mandrake-russian
On Tue, 22 May 2001, cornet wrote:
> > Разобрался быстро - я снёс /sbin.
> Подтверждаю - сам неоднократно сносил с дуру пол системы работая от
> root'а :-))
Добавлю еще чуть-чуть: будьте осторожнее с ch{mod,own} -R .* ;-)
Я как-то фиксил разрешения после апгрейда (все в /home), удивился, что
забыл про ~/.*, ну и... забыл, что ".." -- это _тоже_ .* =8-[ ]
Потом непомнюсколько чинил. Но выпутался. А то весело было.
PS: я тоже человек относительно аккуратный, только с тех пор у меня
правило -- не заниматься системным администрированием в валящемся с ног
от усталости виде. Уснуть, отдохнуть, и -- утром.
--
WBR, Michael Shigorin, webmaster of www.chem.univ.kiev.ua
>Home Page: http://visa.chem.univ.kiev.ua/~mike/ ICQ: 113344029
>Brainbench: http://www.brainbench.com/transcript.jsp?pid=2434729
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [mdk-re] RPM & root Подскажите...
2001-05-22 11:15 [mdk-re] RPM & root Подскажите Диконов Вячеслав
` (4 preceding siblings ...)
2001-05-22 12:53 ` Dmitry V. Levin
@ 2001-05-25 23:01 ` Michael Shigorin
5 siblings, 0 replies; 16+ messages in thread
From: Michael Shigorin @ 2001-05-25 23:01 UTC (permalink / raw)
To: mandrake-russian
On Tue, 22 May 2001, Диконов Вячеслав wrote:
> В Всн2001 невозможно сразу делать пакеты. Я первым делом добавил
> себя-пользователя в группы rpm и rpminst и получил:
> а) создание rpm: - каталог /usr/src/RPM/* не существует. Потом
> разобрался, что это моя вина - не было пакета rpm-build. Но даже с ним
> делать оные пакеты без полного доступа во все каталоги - очень
> неудобно.
Так это уж давно так -- и очень даже правильно с точки зрения экономии
места при минимализации инсталляции...
> Приходится держать кучу открытых терминалов с su и без и мучиться. К
Зачем мучиться.
Кстати, при возможности в качестве запускалки терминалов _гораздо_
удобнее использовать X.
> тому же многие созданные под пользователем пакеты при установке орут
> что пользователя такого на этой машине нет - ошибка ошибка...
> Неприятно все это.
Не знаю, о чем Вы. Все пучком. Серьезно...
> б) А вот это уже ни в какие ворота. Здравый смысл гласит: "Раз руту
> заниматься пакетами вообще не положено то пусть и устанавливает их
> пользователь он ведь в группе rpminst?". Ничего подобного! Доступ к
> базе rpm отсутствует!
Здравый смысл использовать тоже надо сообразно здравому смыслу ;-)
Поваритесь в этой среде -- постепенно отметите, что любая уважающая себя
программа _должна_ собираться от юзера (я не могу сейчас представить
необходимости в руте при _сборке_, хотя теоретически какие-нибудь хитрые
автодетекты могут и). А вот ставить программы на _общие_ разделы типа
/usr должен рут. Никто не мешает Вам ставить их в частном порядке в
~/bin, думаю, реально даже запинать RPM на предмет создания своей базы
для пользователя и сборки/установки пакетов исключительно в пределах
~user .
> Итак: Мне вообще не нужна "безопасность" от меня самого которую мне
Возьмите Microsoft(R) Windows(TM). Желательно 95 первых опубликованных
билдов.
> навязывают. У меня ДОМАШНЯЯ ОДНОПОЛЬЗОВАТЕЛЬСКАЯ машина. И все админы
> по моему глубокому убеждению - маньяки а сервера надо на свалку :). А
For whom how.
Вам никто не мешал прочесть книжку и поставить msec 1.
> если серьёзно, я уже проклял все на свете заменив Mdk70RE на Весну2001
> и получив вместе с тортом бочку навоза в виде назойливых ограничений и
> проблем на пустом месте которых не было раньше. У меня сессия и надо
Ну я себе в зимнюю сессию апгрейд устроил. Так я себе мог это позволить,
старенький p133/96M рядом исправно стоял (без винта). Аж жалко было, до
того ровная машинка =)
> дисер писать совсем не по технической специальности, а пришлось
> угробить 2 дня на составление длинных скриптов переконфигурирующих
> систему, борьбу с menu (еще та гадость), который убивал насмерть все
> мои пункты и восстанавливал НЕУДОБНЕЙШУЮ иерархию из Mdk и т.д.
> Кончится тем что поставлю chmod -R 777 /*.
Кончится это тем, что Вы поймете, что при современных объемах
накопителей на жестких дисках вполне реально обкатать дистро на
отдельном корне -- и только потом переезжать. Чтоб не разводить теорию,
добавлю, что я так и сделал -- сперва обкатал на двух станциях в
университете, потом -- более внимательно -- в течение суток на том, что
было /usr/src (~1.5-2G, уже не помню) -- и только ПОТОМ переезжал.
Вообще удивляюсь, как человек с Вашим уровнем познаний Linux (я не хочу
Вас обидеть, ни в коем случае -- все мы учимся и ошибаемся) рискнул
устраивать такой тотальный апгрейд в течение критического участочка
жизни (сессии).
> Надо иметь уровень безопасности для ДОМАШНИХ МАШИН наряду со всякими
> серверными. Скажем msec 1 который бы разрешал ВСЕ кроме удаления
> данных другого пользователя и стирания ключевых системных файлов.
Он _есть_. Но уж лучше msec 2.
Прочтите книжку.
А вообще Вы пока сильно смахиваете на юзера Win9X, которому во что бы то
ни стало нужна возможность угробить систему в любой момент :-(
> Иначе выходит что безопасность хваленая, вылезающая там где не надо,
> превращает систему в игрушку, на настройку которой и решение ее
> дебильных проблем уходит все время. Вот нормальных средств
> конфигурации так и не сделали и даже не пытались а маразм
> (безопасность) все крепчает. Этак Линуксу в рабочие и домашние машинки
> никогда не пробиться.
Когда человек думает, что все для него, все просто, при этом на халяву,
он быстро развращается.
Ну подумайте головой. Зачем Вам собирать rpm'ы, если Вы не въехали ни на
йоту в систему и политику безопасности -- даже не конретного дистро, а
юниксов в куче?
Пользуйтеся готовеньким, его для Вас напекли уже выше крыши.
И, простите, не просите менять Вам подгузники, "а то ремень безопасности
давит". Осознайте необходимость оного -- а до тех пор велосипед
(трехколесный, "Зайчик", "Аист", "Украина") и, в крайнем случае,
мотороллер.
Не обижайтесь, просто Вы в корне неправы.
--
WBR, Michael Shigorin, webmaster of www.chem.univ.kiev.ua
>Home Page: http://visa.chem.univ.kiev.ua/~mike/ ICQ: 113344029
>Brainbench: http://www.brainbench.com/transcript.jsp?pid=2434729
^ permalink raw reply [flat|nested] 16+ messages in thread
end of thread, other threads:[~2001-05-25 23:01 UTC | newest]
Thread overview: 16+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2001-05-22 11:15 [mdk-re] RPM & root Подскажите Диконов Вячеслав
2001-05-22 11:31 ` [mdk-re] " Alexander Bokovoy
2001-05-22 11:43 ` vic ismakaev
2001-05-22 11:55 ` [mdk-re] " Alexander Bokovoy
2001-05-22 12:11 ` Dmitry V. Levin
2001-05-22 11:54 ` [mdk-re] Мне вообще не нужна "безопасность" Sergey S. Skulachenko
2001-05-22 12:04 ` [mdk-re] Re: [mdk-re] Мне вообще не нужна " безопасность" cornet
2001-05-22 21:47 ` Igor Solovyov
2001-05-22 22:52 ` Dmitry V. Levin
2001-05-22 22:39 ` [mdk-re] " Alexey Voinov
2001-05-25 22:06 ` Michael Shigorin
2001-05-22 12:41 ` [mdk-re] Re: [mdk-re] RPM & root Подскажите Mikhail Zabaluev
2001-05-22 13:00 ` Dmitry V. Levin
2001-05-25 21:55 ` Michael Shigorin
2001-05-22 12:53 ` Dmitry V. Levin
2001-05-25 23:01 ` Michael Shigorin
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git