From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <maksim@otstavnov.com>
From: Maksim Otstavnov <maksim@otstavnov.com>
X-Mailer: The Bat! (v1.46d) Educational
Organization: home office
X-Priority: 3 (Normal)
Message-ID: <2917267384.20010117181111@otstavnov.com>
To: "Artem K. Jouravsky" <mandrake-russian@linuxteam.iplabs.ru>
Subject: Re[4]: [mdk-re] multiple root logins
In-reply-To: <55776508760.20010117175306@zuzusoft.com>
References: <74678587296.20010116144104@zuzusoft.com>
 <20010117034416.A4234@LDV.fandra.org> <1807225392.20010117152350@otstavnov.com>
 <55776508760.20010117175306@zuzusoft.com>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
Sender: mandrake-russian-admin@linuxteam.iplabs.ru
Errors-To: mandrake-russian-admin@linuxteam.iplabs.ru
X-BeenThere: mandrake-russian@linuxteam.iplabs.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: mandrake-russian@linuxteam.iplabs.ru
X-Reply-To: Maksim Otstavnov <maksim@otstavnov.com>
List-Help: <mailto:mandrake-russian-request@linuxteam.iplabs.ru?subject=help>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>
List-Subscribe: <http://linuxteam.iplabs.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@linuxteam.iplabs.ru?subject=subscribe>
List-Id: Mandrake/RE discussion list <mandrake-russian.linuxteam.iplabs.ru>
List-Unsubscribe: <http://linuxteam.iplabs.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@linuxteam.iplabs.ru?subject=unsubscribe>
List-Archive: <http://linuxteam.iplabs.ru/pipermail/mandrake-russian/>
Date: Wed Jan 17 18:41:00 2001
X-Original-Date: Wed, 17 Jan 2001 18:11:11 +0300
Archived-At: <http://lore.altlinux.org/community/2917267384.20010117181111@otstavnov.com/>
List-Archive: <http://lore.altlinux.org/community/>

Hello Artem,

Wednesday, January 17, 2001, 5:53:06 PM, you wrote:

AKJ> Hello Maksim,

AKJ> Wednesday, January 17, 2001, 3:23:50 PM, you wrote:

MO>> Возможно, разумнее однозначно трактовать ситуацию с двумя
MO>> пользователями под одним UID как некорректную.
AKJ> Это же особенный UID.. В идеале конечно, root должен быть один, но на
AKJ> практике так не бывает, а такое решение дает свои преимущества

Вполне возможно, что они кажущиеся. Практически в любой ситуации можно
найти решение делегированием прав на отдельные каталоги/файлы
администраторам, не являющимся суперпользователями, через механизм
групп. Я не говорил "в любой", я сказал "практически в любой",
обратите внимание.

MO>> А ситуацию с двумя
MO>> UID==0 как серьезную дыру в безопасности хоста.
AKJ> Почему? Я согласен, что это ослабление безопасности по человеческому
AKJ> фактору, т.е. вдвое увеличивается вероятность слабого пароля например
AKJ> и т.д., но почему сразу - дыра?

"Дыра" - это в нашей отрасли такой способ сказать "ослабление", чтобы
напугать собеседника/клиента. По большому счету, проблем от того, что
в юниксах есть _один_ рут - уже достаточно. Это само по себе
большая... ослабление.

MO>> (Извините, если что не так сказал, я в Linux новичок, но под старыми
MO>> юниксами это трактовалось так, и я не помню серьезных проблем, с этим
MO>> связанных).
AKJ> Я тоже новичок... А идею подсмотрел у админов одного московского
AKJ> провайдера

В аду уже для московских провайдеров, говорят, завели отдельный круг.
;)

-- 
-- Maksim