From: Michael Shigorin <mike@osdn.org.ua>
To: ALT Linux Community general discussions <community@lists.altlinux.org>
Subject: Re: [Comm] Куда делся rsh?
Date: Tue, 17 Jul 2012 14:30:17 +0300
Message-ID: <20120717113017.GB30655@osdn.org.ua> (raw)
In-Reply-To: <10868778.63.1342486444523.JavaMail.taf@taf.ilimnet.ru> <20120715223231.GA26159@altlinux.org>
[-- Attachment #1: Type: text/plain, Size: 2007 bytes --]
On Mon, Jul 16, 2012 at 02:32:31AM +0400, Dmitry V. Levin wrote:
> > Дим, есть ещё и доверенные окружения,
> Доверенные окружения бывают только в упрощенных моделях угроз. :)
Причём упрощение порой производится физически. :)
> > где ssh имели в виду крупным планом по причине неприемлемой
> > производительности и/или латентности установления соединения.
> Если использовать connection sharing, то никакой латентности не будет.
Есть ещё http://www.psc.edu/index.php/hpn-ssh/640 и резоны для него
-- но всё равно спасибо, не знал.
> > Если считаешь, что этот пакет настолько вреден -- удали.
> > Мне же было бы интересно узнать, почему именно "не нужен".
> Его наличие в репозитории создает ложное ощущение пригодности
> для использования. Квалификация, требуемая для осознанного
> решения использовать rsh вместо ssh, сравнима с квалификацией,
> необходимой для грамотной кастомизации кода ssh по месту.
Случаи бывают разные, в т.ч. необходимость взаимодействия
с legacy equipment.
On Tue, Jul 17, 2012 at 09:54:08AM +0900, Alexei Takaseev wrote:
> > > Погодите, погодите. Чем наличие клиента rsh несет угрозу?
> > И это тоже -- может, тогда сделать что-нить с серверной частью,
> > чтоб пользование подразумевало сознание (например, control,
> > переключающий права на бинарник с 644 на 755)?
> Дык, как раз серверную часть можно вообще не пакетить,
> оставить только клиента.
Он suid-ный, а я это благополучно проморгал при работе над спеком.
Подумал и решил сделать из коробки соответственно control netadmin
-- несетевым неадминистраторам эта функциональность вряд ли нужна,
а таковым пригодятся и другие утилиты в этом режиме.
Не'control'ируемыми остались rexec и in.rdisc, если стоит тоже
засунуть (только без SUID) -- просьба сообщить.
BTW попутно усовершенствован механизм управления правами на
несколько бинарников одновременно, изначально подсмотренный
в /etc/control.d/facilities/mount.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: rsh.control --]
[-- Type: text/plain, Size: 801 bytes --]
#!/bin/sh
. /etc/control.d/functions
BINARY_RSH=/usr/bin/rsh
BINARY_RCP=/usr/bin/rcp
BINARY_RLOGIN=/usr/bin/rlogin
BINARIES="$BINARY_RSH $BINARY_RCP $BINARY_RLOGIN"
new_fmode public 4711 root root
new_fmode netadmin 4710 root netadmin
new_fmode restricted 700 root root
new_help public "Any user can execute $BINARIES"
new_help netadmin "Only \"netadmin\" group members can execute $BINARIES"
new_help restricted "Only root can execute $BINARIES"
if is_builtin_mode "$*"; then
case "$*" in
status|'') # if there's more than a line it's a question...
for f in $BINARIES; do
control_fmode "$f" status || exit 1
done | sort -u | sed 'N; { s/.*\n.*/unknown/; }'
;;
*)
control_fmode "$BINARY_RSH" "$*"
;;
esac
else
for f in $BINARIES; do
control_fmode "$f" "$*" || exit 1
done
fi
prev parent reply other threads:[~2012-07-17 11:30 UTC|newest]
Thread overview: 22+ messages / expand[flat|nested] mbox.gz Atom feed top
2012-07-13 15:40 ` Michael Shigorin
2012-07-13 15:54 ` Denis Nazarov
2012-07-13 16:10 ` diver
2012-07-13 17:06 ` Denis Nazarov
2012-07-14 6:42 ` Alexei Takaseev
2012-07-14 9:40 ` Denis Nazarov
2012-07-14 12:49 ` Sergey
2012-07-14 13:08 ` Alexei Takaseev
2012-07-14 13:49 ` Sergey
2012-07-14 15:00 ` Alexei Takaseev
2012-07-14 15:51 ` Sergey
2012-07-14 17:15 ` Alexei Takaseev
2012-07-13 21:41 ` Michael Shigorin
2012-07-14 12:46 ` Sergey
2012-07-14 21:12 ` Dmitry V. Levin
2012-07-15 22:00 ` Michael Shigorin
2012-07-15 22:32 ` Dmitry V. Levin
2012-07-16 1:02 ` Alexei Takaseev
2012-07-16 3:18 ` Denis Nazarov
2012-07-16 7:35 ` Michael Shigorin
2012-07-17 0:54 ` Alexei Takaseev
2012-07-17 11:30 ` Michael Shigorin [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20120717113017.GB30655@osdn.org.ua \
--to=mike@osdn.org.ua \
--cc=community@lists.altlinux.org \
--cc=shigorin@gmail.com \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git