Vladimir V. Kamarzin пишет: >>>>>> On 02 Sep 2008 at 16:07 "AA" == Aleksey Avdeev writes: > > AA> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны > AA> принадлежать root`у. > > Нет. Изучите внимательно http://docs.altlinux.ru/alt/devel/ch01s03.html Цитирую: Владельцы файлов Пакеты НЕ ДОЛЖНЫ содержать файлы, принадлежащие псевдо-пользователям, если в процессе работы к этим файлам осуществляется доступ процессов с другим uid либо с более широкими правами доступа. К таким файлам, в частности, относятся исполняемые, конфигурационные и неизменяемые файлы. Обоснование: Псевдо-пользователь не должен иметь право изменять эти файлы; нарушение этого правила, как правило приводит к очевидной возможности осуществления pseudouser/root compromise. Владельцы каталогов Пакеты НЕ ДОЛЖНЫ содержать каталоги, принадлежащие псевдо-пользователям. Вместо этого следует использовать каталоги, принадлежащие root, с установленным sticky bit и доступом группы по записи. Обоснование: Псевдо-пользователь не должен иметь право изменять атрибуты каталогов, а также файлы и каталоги, созданные другими пользователями; нарушение этого правила, как правило приводит к возможности осуществления pseudouser/root compromise. > > AA> В то же время для веб приложений (да и самих веб серверов) актуально > AA> следующие (считаем что webmaster -- пользователь отличный от root и > AA> имеющий обязанности вебмастера): > > AA> 1. Есть файлы которые имеют права создавать/редактировать как > AA> вебсервер так и webmaster. > > 664/660 webmaster:_webserver > > AA> 2. Есть каталоги, содержимое которых имеют право менять как вебсервер > AA> так и webmaster. > > 1770/0770 webmaster:_webserver > > AA> Я слабо представляю как это разрулить в полном объёме: Если > AA> п. п. 1,2 можно решить, включить webmaster`а одну группу с > AA> вебсерверами, то как быть с п. 3 -- я не понимаю... :-/ > > Ну если приять тот факт, что webmaster - это не псевдопользователь, то всё > укладывается в policy ;) Да. Но тогда у нас получается что есть специализированный, _заранее_ заданный пользователь, являющийся вебмастером... Не слишком ли это жёстко? А если мы примем, что что вебмастер -- это _любой_ пользователь входящий в группу webmaster (что на мой взгляд болие правельно), то я не вижу решения без привлечения sudo. -- С уважением. Алексей.