[devel] default umask

[devel] default umask

[Dmitry Derjavin]

Коллеги, добрый день!

Обратил внимание, что на большинстве подконтрольных машин приходится
менять умолчальное значение umask.

По-моему, значение 002 вполне осмысленно для любых систем, где
операторов больше одного. А на совсем уж однопользовательских — как
минимум не вредно. У нас ведь у всех пользователей, в том числе
системных, по умолчанию default group своя, поэтому такое изменение
видится вполне безопасным.

Есть предложение рассмотреть возможность изменения умолчального значения
umask в дистрибутивах на 002 из коробки.

Можно, например, задействовать пакет umask-control, который, похоже,
когда-то для этого и придумали. Например, для начала включить пакет в
коробку, не трогая умолчания, а потом как-нибудь постепенно перейти на 002.

Прошу прокомментировать.

Спасибо!

-- 
~dd

Re: [devel] default umask

[Michael Shigorin]

On Thu, Mar 22, 2012 at 12:10:24AM +0400, Dmitry Derjavin wrote:
> Есть предложение рассмотреть возможность изменения умолчального
> значения umask в дистрибутивах на 002 из коробки.
> Можно, например, задействовать пакет umask-control, который,
> похоже, когда-то для этого и придумали. Например, для начала
> включить пакет в коробку, не трогая умолчания, а потом
> как-нибудь постепенно перейти на 002.  Прошу прокомментировать.

control не помешает (хотя это чревато ещё одним fopen() при
старте каждого шелла), а вот смену умолчания я бы оставил
на усмотрение релиз-менеджерам дистрибутивов и админам.

Туда же рядом вопрос о правах на $HOME (0700/0750/0751,
последнее бывает актуально для ~/public_html).

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] default umask

[Vitaly Lipatov]

Michael Shigorin писал 23.03.2012 14:42:
> On Thu, Mar 22, 2012 at 12:10:24AM +0400, Dmitry Derjavin wrote:
>> Есть предложение рассмотреть возможность изменения умолчального
>> значения umask в дистрибутивах на 002 из коробки.
>> Можно, например, задействовать пакет umask-control, который,
>> похоже, когда-то для этого и придумали. Например, для начала
Да.
>> включить пакет в коробку, не трогая умолчания, а потом
>> как-нибудь постепенно перейти на 002.  Прошу прокомментировать.
Мечтаю.

> control не помешает (хотя это чревато ещё одним fopen() при
> старте каждого шелла), а вот смену умолчания я бы оставил
А давно мы количество файлов в /etc/profile.d экономим?

> на усмотрение релиз-менеджерам дистрибутивов и админам.
Не понимаю, где может понадобится умолчание 022 - разве что в какой-то 
однопользовательской среде.
Про дистрибутив подумываю всё чаще.

> Туда же рядом вопрос о правах на $HOME (0700/0750/0751,
> последнее бывает актуально для ~/public_html).
Это всё же надо самому менять, подумавши.

-- 
С уважением,
Виталий Липатов,
Etersoft

Re: [devel] default umask

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1255 bytes --]

On Thu, Mar 22, 2012 at 12:10:24AM +0400, Dmitry Derjavin wrote:
> Коллеги, добрый день!
> 
> Обратил внимание, что на большинстве подконтрольных машин приходится
> менять умолчальное значение umask.
> 
> По-моему, значение 002 вполне осмысленно для любых систем, где
> операторов больше одного.

Наверное, не для любых.  Непривилегированные операторы, обменивающиеся
файлами - это явление не так часто встречается.

> А на совсем уж однопользовательских — как минимум не вредно.

Это зависит от точки зрения.  Я бы сказал, что как минимум не полезно. :)

> У нас ведь у всех пользователей, в том числе
> системных, по умолчанию default group своя, поэтому такое изменение
> видится вполне безопасным.

Любое изменение дефолтов потенциально опасно, поскольку могут существовать
системы, рассчитывающие на нынешнее значение по умолчанию.

> Есть предложение рассмотреть возможность изменения умолчального значения
> umask в дистрибутивах на 002 из коробки.

Я пока не вижу практической пользы от смены значения по умолчанию.
Более актуально было бы найти и обезвредить все места, где нынешнее
значение по умолчанию прибито гвоздями.  Тогда сисадмин мог бы легко
его изменить в соответствии с решаемыми задачами.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] default umask

[Alexey Morozov]

29.03.2012 04:34, Dmitry V. Levin пишет:
> Наверное, не для любых.  Непривилегированные операторы, обменивающиеся
> файлами - это явление не так часто встречается.
Э-э-э, любой хоум-сетап? Или предлагаете дочерям 5 и 8 лет рута дать?

Re: [devel] default umask

[Vitaly Lipatov]

Alexey Morozov писал 27.04.2012 07:41:
> 29.03.2012 04:34, Dmitry V. Levin пишет:
>> Наверное, не для любых.  Непривилегированные операторы, 
>> обменивающиеся
>> файлами - это явление не так часто встречается.
> Э-э-э, любой хоум-сетап? Или предлагаете дочерям 5 и 8 лет рута дать?

И я о том же. У меня возникает впечатление, что либо никто совместно не 
работает,
либо файлами обмениваются люди исключительно по электронной почте, 
скайпу или через git-репозиторий.

-- 
С уважением,
Виталий Липатов,
Etersoft

Re: [devel] default umask

[led]

>> Э-э-э, любой хоум-сетап? Или предлагаете дочерям 5 и 8 лет рута дать?

> И я о том же. У меня возникает впечатление, что либо никто совместно не 
работает,
> либо файлами обмениваются люди исключительно по электронной почте, скайпу 
или через git-репозиторий.

Каким образом дефолтный umask мешает чтению (в т.ч. и одновременному) фалов 
разными пользователями?

Каким образом дефолтный umask мешает сделать пользователю копию неужного ему 
файла и делать с ним всё, что угодно?

Каким образом дефолтный umask мешает именно "ОБМЕНУ файлами"?

Как можно назвать "админа" (даже пусть и домашнего хоста), который привёл к 
ситуации, когда в системе допускается запись (в том числе и одновременная) 
одного и того же файла разными пользователями?

-- 
Led

Re: [devel] default umask

[Dubrovskiy Viacheslav]

27.04.2012 10:05, Vitaly Lipatov пишет:
>>> файлами - это явление не так часто встречается.
>> Э-э-э, любой хоум-сетап? Или предлагаете дочерям 5 и 8 лет рута дать?
> Наверное, не для любых.  Непривилегированные операторы, обменивающиеся
>
> И я о том же. У меня возникает впечатление, что либо никто совместно 
> не работает,
> либо файлами обмениваются люди исключительно по электронной почте, 
> скайпу или через git-репозиторий.
Можно использовать bindfs
Как раз для таких случаев

-- 
WBR,
Dubrovskiy Viacheslav

Re: [devel] default umask

[Dubrovskiy Viacheslav]

27.04.2012 10:16, led@altlinux.ru пишет:
> Как можно назвать "админа" (даже пусть и домашнего хоста), который 
> привёл к ситуации, когда в системе допускается запись (в том числе и 
> одновременная) одного и того же файла разными пользователями? 
Да нормально. Кучу примеров приводили когда это нужно.

-- 
WBR,
Dubrovskiy Viacheslav

Re: [devel] default umask

[led]

>Да нормально. Кучу примеров приводили когда это нужно.

Ещё раз перечитал всю ветку. Где "куча примеров"?

--
Led

Re: [devel] default umask

[Dubrovskiy Viacheslav]

27.04.2012 11:58, led@altlinux.ru пишет:
>> Да нормально. Кучу примеров приводили когда это нужно.
> Ещё раз перечитал всю ветку. Где "куча примеров"?
Ну тема же не только в этой ветке поднималась. Я думал все "в теме".

-- 
WBR,
Dubrovskiy Viacheslav

Re: [devel] default umask

[Dubrovskiy Viacheslav]

[-- Attachment #1: Type: text/plain, Size: 656 bytes --]

27.04.2012 12:28, Dubrovskiy Viacheslav пишет:
> 27.04.2012 11:58, led@altlinux.ru пишет:
>>> Да нормально. Кучу примеров приводили когда это нужно.
>> Ещё раз перечитал всю ветку. Где "куча примеров"?
> Ну тема же не только в этой ветке поднималась. Я думал все "в теме".
>
Кто не "в теме", вот ссылки по теме
http://lists.altlinux.org/pipermail/community/2009-January/647440.html
http://lists.altlinux.org/pipermail/community/2008-February/627648.html

-- 
WBR,
Dubrovskiy Viacheslav


[-- Attachment #2: Криптографическая подпись S/MIME --]
[-- Type: application/pkcs7-signature, Size: 4903 bytes --]

Re: [devel] default umask

[Led]

> Кто не "в теме", вот ссылки по теме
> http://lists.altlinux.org/pipermail/community/2009-January/647440.html
> http://lists.altlinux.org/pipermail/community/2008-February/627648.html

там описаны и разжёваны првильные решения, IMO понятные даже для виндовз "админов".

-- 
Led

Re: [devel] default umask

[Evgeny Sinelnikov]

28 апреля 2012 г. 1:26 пользователь Dubrovskiy Viacheslav
<slava@tangramltd.com> написал:
> 27.04.2012 12:28, Dubrovskiy Viacheslav пишет:
>> 27.04.2012 11:58, led@altlinux.ru пишет:
>>>> Да нормально. Кучу примеров приводили когда это нужно.
>>> Ещё раз перечитал всю ветку. Где "куча примеров"?
>> Ну тема же не только в этой ветке поднималась. Я думал все "в теме".
>>
> Кто не "в теме", вот ссылки по теме
> http://lists.altlinux.org/pipermail/community/2009-January/647440.html
> http://lists.altlinux.org/pipermail/community/2008-February/627648.html

Да, банальная задача сделать каталог с общими документами доступными
группе на запись. Решается установкой guid и umask.

Кстати, umask-control хоть и написан давно, мною и у нас в компании
вполне используется:
$ rpm -q umask-control
umask-control-0.2-alt1
$ sudo control umask
group
$ sudo control umask help
user: Write permissions on new files only for owner
group: Write permissions on new files for owner and group
all: Write permissions on new file for all users

Так что его не просто "когда-то для этого и придумали" - им активно
пользуются ;)


-- 
Sin (Sinelnikov Evgeny)
Etersoft

Re: [devel] default umask

[Evgeny Sinelnikov]

28 апреля 2012 г. 1:56 пользователь Led <ledest@gmail.com> написал:
>> Кто не "в теме", вот ссылки по теме
>> http://lists.altlinux.org/pipermail/community/2009-January/647440.html
>> http://lists.altlinux.org/pipermail/community/2008-February/627648.html
>
> там описаны и разжёваны првильные решения, IMO понятные даже для виндовз "админов".

Я не соглашусь с вашим IMHO. Не даром многие дистрибутивы включают
umask 0002, по умолчанию.

К тому же для виндовз "админов" - это вообще нереальная задача. Но не
потому, что это такая сверх-задача. А потому что, когда люди начинают
разбирать возможные варианты решения, то просто не верят, что простая,
вроде бы, задача, решается таким сложным путём.

Это не просто шокирует людей - это, для них критерий. Критерий
необоснованных сложностей для решения типичной, для Windows, задачи. И
критерий, я полагаю, вполне обоснованный.


-- 
Sin (Sinelnikov Evgeny)
Etersoft

Re: [devel] default umask

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1426 bytes --]

On Sat, Apr 28, 2012 at 02:23:03AM +0400, Evgeny Sinelnikov wrote:
> 28 апреля 2012 г. 1:26 пользователь Dubrovskiy Viacheslav написал:
> > 27.04.2012 12:28, Dubrovskiy Viacheslav пишет:
> >> 27.04.2012 11:58, led@altlinux.ru пишет:
> >>>> Да нормально. Кучу примеров приводили когда это нужно.
> >>> Ещё раз перечитал всю ветку. Где "куча примеров"?
> >> Ну тема же не только в этой ветке поднималась. Я думал все "в теме".
> >>
> > Кто не "в теме", вот ссылки по теме
> > http://lists.altlinux.org/pipermail/community/2009-January/647440.html
> > http://lists.altlinux.org/pipermail/community/2008-February/627648.html
> 
> Да, банальная задача сделать каталог с общими документами доступными
> группе на запись. Решается установкой guid и umask.
> 
> Кстати, umask-control хоть и написан давно, мною и у нас в компании
> вполне используется:

На мой взгляд, лучше использовать pam_umask (ну и убрать все костыли,
если они есть и мешают использовать pam_umask).

> $ rpm -q umask-control
> umask-control-0.2-alt1
> $ sudo control umask
> group
> $ sudo control umask help
> user: Write permissions on new files only for owner
> group: Write permissions on new files for owner and group
> all: Write permissions on new file for all users
> 
> Так что его не просто "когда-то для этого и придумали" - им активно
> пользуются ;)

pam_umask у нас пакуется с лета 2006-го года. :)


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]