* [devel] control
@ 2003-02-17 14:39 Alexey V. Lubimov
2003-02-17 14:45 ` Dmitry V. Levin
0 siblings, 1 reply; 11+ messages in thread
From: Alexey V. Lubimov @ 2003-02-17 14:39 UTC (permalink / raw)
To: devel
=======================================================================
Description:
Введённая первой в терминале xterm от созданного первым пользователя
команда "su -", для перехода в режим root и дальнейшей настройки выдаёт
ошибку:
[slava@linuxbox slava]$ su -
bash: /bin/su: Permission denied
Причина состоит в том, что для этого требуется участие в группе wheel.
Аналогичная проблема мешает запуску средств настройки sudo и userdrake для
исправления ситуации.
========================================================================
причина состоит в том, что при переходе на control сделали нехорошее на мой взгляд умолчание.
вот так (по умолчанию) было бы лучше.
sudo control
consolehelper public (public wheelonly restricted)
su public (public wheel wheelonly restricted)
sudo public (public wheelonly restricted)
Ведь закрыто su паролем и sudo через /etc/sudoers!
Зачем было добавлять проблем по умолчанию?
А сейчас мало того, что при новой установке есть необходимость логиниться рутом хотя бы раз, но и для апдейтящихся западня какая... :(
--
С уважением, Алексей Любимов avl@cad.ru
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] control
2003-02-17 14:39 [devel] control Alexey V. Lubimov
@ 2003-02-17 14:45 ` Dmitry V. Levin
2003-02-17 14:58 ` [devel] control Michael Shigorin
2003-02-17 15:10 ` [devel] control Alexey V. Lubimov
0 siblings, 2 replies; 11+ messages in thread
From: Dmitry V. Levin @ 2003-02-17 14:45 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 1305 bytes --]
On Mon, Feb 17, 2003 at 05:39:35PM +0300, Alexey V. Lubimov wrote:
> =======================================================================
> Description:
> Введённая первой в терминале xterm от созданного первым пользователя
> команда "su -", для перехода в режим root и дальнейшей настройки выдаёт
> ошибку:
>
> [slava@linuxbox slava]$ su -
> bash: /bin/su: Permission denied
>
> Причина состоит в том, что для этого требуется участие в группе wheel.
> Аналогичная проблема мешает запуску средств настройки sudo и userdrake для
> исправления ситуации.
> ========================================================================
>
> причина состоит в том, что при переходе на control сделали нехорошее на мой взгляд умолчание.
>
> вот так (по умолчанию) было бы лучше.
>
> sudo control
> consolehelper public (public wheelonly restricted)
> su public (public wheel wheelonly restricted)
> sudo public (public wheelonly restricted)
>
> Ведь закрыто su паролем и sudo через /etc/sudoers!
> Зачем было добавлять проблем по умолчанию?
> А сейчас мало того, что при новой установке есть необходимость логиниться рутом хотя бы раз, но и для апдейтящихся западня какая... :(
Ok, есть другие предложения по избежанию race condition?
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* [devel] Re: control
2003-02-17 14:45 ` Dmitry V. Levin
@ 2003-02-17 14:58 ` Michael Shigorin
2003-02-17 15:09 ` Dmitry V. Levin
2003-02-17 15:10 ` [devel] control Alexey V. Lubimov
1 sibling, 1 reply; 11+ messages in thread
From: Michael Shigorin @ 2003-02-17 14:58 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 664 bytes --]
On Mon, Feb 17, 2003 at 05:45:13PM +0300, Dmitry V. Levin wrote:
> > Зачем было добавлять проблем по умолчанию?
Присоединяюсь. Хорошо, что был root shell и листва над граблями
уже разбросана предшественниками.
> > А сейчас мало того, что при новой установке есть
> > необходимость логиниться рутом хотя бы раз, но и для
> > апдейтящихся западня какая... :(
> Ok, есть другие предложения по избежанию race condition?
Можно подробнее про race и потенциальные проблемы от него по
сравнению с имеющимися?
Кстати, Дима -- об новой установке надо было написать в
README.ALT хотя бы. До _этого_ я не додумался. :-/
--
Ну вот, опять tradeoff...
[-- Attachment #2: Type: application/pgp-signature, Size: 187 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Re: control
2003-02-17 14:58 ` [devel] control Michael Shigorin
@ 2003-02-17 15:09 ` Dmitry V. Levin
2003-02-17 15:20 ` Michael Shigorin
` (2 more replies)
0 siblings, 3 replies; 11+ messages in thread
From: Dmitry V. Levin @ 2003-02-17 15:09 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 1270 bytes --]
On Mon, Feb 17, 2003 at 04:58:40PM +0200, Michael Shigorin wrote:
> On Mon, Feb 17, 2003 at 05:45:13PM +0300, Dmitry V. Levin wrote:
> > > Зачем было добавлять проблем по умолчанию?
>
> Присоединяюсь. Хорошо, что был root shell и листва над граблями
> уже разбросана предшественниками.
>
> > > А сейчас мало того, что при новой установке есть
> > > необходимость логиниться рутом хотя бы раз, но и для
> > > апдейтящихся западня какая... :(
> > Ok, есть другие предложения по избежанию race condition?
>
> Можно подробнее про race и потенциальные проблемы от него по
> сравнению с имеющимися?
При обновлении под'control'ного пакета есть небольшой интервал времени, в
течении которого права на под'control'ные файлы выставляются согласно
описанию пакета. Если эти права шире, чем до/после обновления, то
получается классический race. Особенно это неприятно, когда речь идёт о
базовых пакетах типа su/passwd. Поэтому права на файлы в пакете su
выставлены так же, как и в control su restricted.
> Кстати, Дима -- об новой установке надо было написать в
> README.ALT хотя бы. До _этого_ я не додумался. :-/
Раскрою большой секрет:
control su wheelonly происходит при установке ALM22 экспертом.
Если ставить в режиме recommended, то будет control su public.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* [devel] Re: control
2003-02-17 15:09 ` Dmitry V. Levin
@ 2003-02-17 15:20 ` Michael Shigorin
2003-02-17 15:25 ` Aleksey Novodvorsky
2003-02-17 15:30 ` Dmitry V. Levin
2003-02-17 15:27 ` Alexey V. Lubimov
2003-02-17 17:10 ` Вячеслав Диконов
2 siblings, 2 replies; 11+ messages in thread
From: Michael Shigorin @ 2003-02-17 15:20 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 994 bytes --]
On Mon, Feb 17, 2003 at 06:09:43PM +0300, Dmitry V. Levin wrote:
> > Можно подробнее про race и потенциальные проблемы от него по
> > сравнению с имеющимися?
> При обновлении под'control'ного пакета есть небольшой интервал
> времени, в течении которого права на под'control'ные файлы
> выставляются согласно описанию пакета. Если эти права шире, чем
> до/после обновления, то получается классический race. Особенно
> это неприятно, когда речь идёт о базовых пакетах типа
> su/passwd. Поэтому права на файлы в пакете su выставлены так
> же, как и в control su restricted.
Стоп. "Если". А если в %files выставлять да хоть (700,root,root)?
(и если это решение -- запечатлеть его в pkg policy по теме
control)
> control su wheelonly происходит при установке ALM22 экспертом.
> Если ставить в режиме recommended, то будет control su public.
Уже легче, но многие стукнутся.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 187 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Re: control
2003-02-17 15:20 ` Michael Shigorin
@ 2003-02-17 15:25 ` Aleksey Novodvorsky
2003-02-17 15:30 ` Dmitry V. Levin
1 sibling, 0 replies; 11+ messages in thread
From: Aleksey Novodvorsky @ 2003-02-17 15:25 UTC (permalink / raw)
To: devel
Michael Shigorin пишет:
>On Mon, Feb 17, 2003 at 06:09:43PM +0300, Dmitry V. Levin wrote:
>
>
>>>Можно подробнее про race и потенциальные проблемы от него по
>>>сравнению с имеющимися?
>>>
>>>
>>При обновлении под'control'ного пакета есть небольшой интервал
>>времени, в течении которого права на под'control'ные файлы
>>выставляются согласно описанию пакета. Если эти права шире, чем
>>до/после обновления, то получается классический race. Особенно
>>это неприятно, когда речь идёт о базовых пакетах типа
>>su/passwd. Поэтому права на файлы в пакете su выставлены так
>>же, как и в control su restricted.
>>
>>
>
>Стоп. "Если". А если в %files выставлять да хоть (700,root,root)?
>(и если это решение -- запечатлеть его в pkg policy по теме
>control)
>
>
>
>>control su wheelonly происходит при установке ALM22 экспертом.
>>Если ставить в режиме recommended, то будет control su public.
>>
>>
>
>Уже легче, но многие стукнутся.
>
И это -- хорошо. У нас будет повод еще раз стукнуть самозванных экспертов.
Rgrds, AEN
>
>
>
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Re: control
2003-02-17 15:20 ` Michael Shigorin
2003-02-17 15:25 ` Aleksey Novodvorsky
@ 2003-02-17 15:30 ` Dmitry V. Levin
1 sibling, 0 replies; 11+ messages in thread
From: Dmitry V. Levin @ 2003-02-17 15:30 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 829 bytes --]
On Mon, Feb 17, 2003 at 05:20:45PM +0200, Michael Shigorin wrote:
> On Mon, Feb 17, 2003 at 06:09:43PM +0300, Dmitry V. Levin wrote:
> > > Можно подробнее про race и потенциальные проблемы от него по
> > > сравнению с имеющимися?
> > При обновлении под'control'ного пакета есть небольшой интервал
> > времени, в течении которого права на под'control'ные файлы
> > выставляются согласно описанию пакета. Если эти права шире, чем
> > до/после обновления, то получается классический race. Особенно
> > это неприятно, когда речь идёт о базовых пакетах типа
> > su/passwd. Поэтому права на файлы в пакете su выставлены так
> > же, как и в control su restricted.
>
> Стоп. "Если". А если в %files выставлять да хоть (700,root,root)?
> (и если это решение -- запечатлеть его в pkg policy по теме
> control)
Об этом и речь.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Re: control
2003-02-17 15:09 ` Dmitry V. Levin
2003-02-17 15:20 ` Michael Shigorin
@ 2003-02-17 15:27 ` Alexey V. Lubimov
2003-02-17 15:32 ` Dmitry V. Levin
2003-02-17 17:10 ` Вячеслав Диконов
2 siblings, 1 reply; 11+ messages in thread
From: Alexey V. Lubimov @ 2003-02-17 15:27 UTC (permalink / raw)
To: devel
> > Кстати, Дима -- об новой установке надо было написать в
> > README.ALT хотя бы. До _этого_ я не додумался. :-/
>
> Раскрою большой секрет:
> control su wheelonly происходит при установке ALM22 экспертом.
> Если ставить в режиме recommended, то будет control su public.
А смысл был так делать? или это побочный эффект?
--
С уважением, Алексей Любимов avl@cad.ru
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Re: control
2003-02-17 15:09 ` Dmitry V. Levin
2003-02-17 15:20 ` Michael Shigorin
2003-02-17 15:27 ` Alexey V. Lubimov
@ 2003-02-17 17:10 ` Вячеслав Диконов
2 siblings, 0 replies; 11+ messages in thread
From: Вячеслав Диконов @ 2003-02-17 17:10 UTC (permalink / raw)
To: devel
В Пнд, 17.02.2003, в 18:09, Dmitry V. Levin написал:
> > Кстати, Дима -- об новой установке надо было написать в
> > README.ALT хотя бы. До _этого_ я не додумался. :-/
>
> Раскрою большой секрет:
> control su wheelonly происходит при установке ALM22 экспертом.
> Если ставить в режиме recommended, то будет control su public.
Ой-ёй-ёй!
Откуда было знать, что привычный "эксперт" теперь превратился в
"садо-мазо"? :~/
О таких не сразу понятных различиях в режимах установки надо было писать
первым делом... Наверняка будут ещё сюрпризы.
--
Вячеслав Диконов <sdiconov@mail.ru>
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] control
2003-02-17 14:45 ` Dmitry V. Levin
2003-02-17 14:58 ` [devel] control Michael Shigorin
@ 2003-02-17 15:10 ` Alexey V. Lubimov
1 sibling, 0 replies; 11+ messages in thread
From: Alexey V. Lubimov @ 2003-02-17 15:10 UTC (permalink / raw)
To: devel
On Mon, 17 Feb 2003 17:45:13 +0300
"Dmitry V. Levin" <ldv@altlinux.org> wrote:
> On Mon, Feb 17, 2003 at 05:39:35PM +0300, Alexey V. Lubimov wrote:
> > =======================================================================
> > Description:
> > Введённая первой в терминале xterm от созданного первым пользователя
> > команда "su -", для перехода в режим root и дальнейшей настройки выдаёт
> > ошибку:
> >
> > [slava@linuxbox slava]$ su -
> > bash: /bin/su: Permission denied
> >
> > Причина состоит в том, что для этого требуется участие в группе wheel.
> > Аналогичная проблема мешает запуску средств настройки sudo и userdrake для
> > исправления ситуации.
> > ========================================================================
> >
> > причина состоит в том, что при переходе на control сделали нехорошее на мой взгляд умолчание.
> >
> > вот так (по умолчанию) было бы лучше.
> >
> > sudo control
> > consolehelper public (public wheelonly restricted)
> > su public (public wheel wheelonly restricted)
> > sudo public (public wheelonly restricted)
> >
> > Ведь закрыто su паролем и sudo через /etc/sudoers!
> > Зачем было добавлять проблем по умолчанию?
> > А сейчас мало того, что при новой установке есть необходимость логиниться рутом хотя бы раз, но и для апдейтящихся западня какая... :(
>
> Ok, есть другие предложения по избежанию race condition?
Да. я предложил сделать по умолчанию public хотя бы для su (и sudo).
У кого то при обновлении из сизифа снизится немножко безопасность, но чем безопаснее система, тем больше за ней догляда да и в отчете за день должно проявится. Зато ситуации, когда обновился и попал в оборот уже не будет.
Или имеется ввиду что то другое?
--
С уважением, Алексей Любимов avl@cad.ru
^ permalink raw reply [flat|nested] 11+ messages in thread
end of thread, other threads:[~2003-02-17 17:10 UTC | newest]
Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-02-17 14:39 [devel] control Alexey V. Lubimov
2003-02-17 14:45 ` Dmitry V. Levin
2003-02-17 14:58 ` [devel] control Michael Shigorin
2003-02-17 15:09 ` Dmitry V. Levin
2003-02-17 15:20 ` Michael Shigorin
2003-02-17 15:25 ` Aleksey Novodvorsky
2003-02-17 15:30 ` Dmitry V. Levin
2003-02-17 15:27 ` Alexey V. Lubimov
2003-02-17 15:32 ` Dmitry V. Levin
2003-02-17 17:10 ` Вячеслав Диконов
2003-02-17 15:10 ` [devel] control Alexey V. Lubimov
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git