ALT Linux Team development discussions
 help / color / mirror / Atom feed
* [devel] Правка файлов в /etc вовремя установки
@ 2008-06-17  9:23 Max Ivanov
  2008-06-17  9:33 ` Epiphanov Sergei
                   ` (2 more replies)
  0 siblings, 3 replies; 12+ messages in thread
From: Max Ivanov @ 2008-06-17  9:23 UTC (permalink / raw)
  To: ALT Linux Team development discussions

Пытаюсь опакетить одну интересную софтинку. Единсвтенная её проблема -
собственнописанный инсталлер install.sh, который предполагается
запускать от рута. Пока не знаю, как решить следующие проблемы:
1)  Программа предполагает правку sudoers. Могу это дело засунуть в
postinstall скрипты, корректно ли это будет?
2)  Одно из главных назначений программы - правка конфигов в /etc
через веб интерфейс (не своих, а вообще другого пакета). Сам веб
интерфейс работает из под апача. Соответственно вовремя установки
программа пытается менять права на эти чужие конфиги таким образом,
чтобы группа www сервера имела право на запись.Можно ли смену прав
автоматизировать или лучше написать об этом в howto,чтобы пользователь
сам?

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] Правка файлов в /etc вовремя установки
  2008-06-17  9:23 [devel] Правка файлов в /etc вовремя установки Max Ivanov
@ 2008-06-17  9:33 ` Epiphanov Sergei
  2008-06-17  9:39   ` Max Ivanov
  2008-06-17  9:38 ` Dmitriy M. Maslennikov
  2008-06-17  9:39 ` Led
  2 siblings, 1 reply; 12+ messages in thread
From: Epiphanov Sergei @ 2008-06-17  9:33 UTC (permalink / raw)
  To: ALT Linux Team development discussions

В сообщении от Tuesday 17 June 2008 13:23:59 Max Ivanov написал(а):
> Пытаюсь опакетить одну интересную софтинку. Единсвтенная её проблема -
> собственнописанный инсталлер install.sh, который предполагается
> запускать от рута. Пока не знаю, как решить следующие проблемы:
> 1)  Программа предполагает правку sudoers. Могу это дело засунуть в
> postinstall скрипты, корректно ли это будет?
> 2)  Одно из главных назначений программы - правка конфигов в /etc
> через веб интерфейс (не своих, а вообще другого пакета). Сам веб
> интерфейс работает из под апача. Соответственно вовремя установки
> программа пытается менять права на эти чужие конфиги таким образом,
> чтобы группа www сервера имела право на запись.Можно ли смену прав
> автоматизировать или лучше написать об этом в howto,чтобы пользователь
> сам?

Что-то мне не нравится это. Если пользователь, под которым работает 
www-сервер, сможет править системные конфиги в /etc, то это будет большая 
дыра. Кроме того, некоторые программы (тот же sudo) требуют, чтобы права и 
владелец/группа на системные файлы (и/или каталоги) были определённые.

-- 
С уважением, Епифанов Сергей

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] Правка файлов в /etc вовремя установки
  2008-06-17  9:23 [devel] Правка файлов в /etc вовремя установки Max Ivanov
  2008-06-17  9:33 ` Epiphanov Sergei
@ 2008-06-17  9:38 ` Dmitriy M. Maslennikov
  2008-06-17  9:39 ` Led
  2 siblings, 0 replies; 12+ messages in thread
From: Dmitriy M. Maslennikov @ 2008-06-17  9:38 UTC (permalink / raw)
  To: ALT Linux Team development discussions

17.06.08, Max Ivanov<ivanov.maxim@gmail.com> написал(а):
> Пытаюсь опакетить одну интересную софтинку.
Она вредная, опасная и совсем не интересная, если судить по
нижеописанному. Лучше ее не пакетить.

>  Единсвтенная её проблема -
>  собственнописанный инсталлер install.sh, который предполагается
>  запускать от рута. Пока не знаю, как решить следующие проблемы:
>  1)  Программа предполагает правку sudoers. Могу это дело засунуть в
>  postinstall скрипты, корректно ли это будет?
>  2)  Одно из главных назначений программы - правка конфигов в /etc
>  через веб интерфейс (не своих, а вообще другого пакета). Сам веб
>  интерфейс работает из под апача. Соответственно вовремя установки
>  программа пытается менять права на эти чужие конфиги таким образом,
>  чтобы группа www сервера имела право на запись.Можно ли смену прав
>  автоматизировать или лучше написать об этом в howto,чтобы пользователь
>  сам?

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] Правка файлов в /etc вовремя установки
  2008-06-17  9:23 [devel] Правка файлов в /etc вовремя установки Max Ivanov
  2008-06-17  9:33 ` Epiphanov Sergei
  2008-06-17  9:38 ` Dmitriy M. Maslennikov
@ 2008-06-17  9:39 ` Led
  2008-06-17  9:41   ` Max Ivanov
  2 siblings, 1 reply; 12+ messages in thread
From: Led @ 2008-06-17  9:39 UTC (permalink / raw)
  To: ALT Linux Team development discussions

Tuesday, 17 June 2008 12:23:59 Max Ivanov написав:
> Пытаюсь опакетить одну интересную софтинку. Единсвтенная её проблема -
> собственнописанный инсталлер install.sh, который предполагается
> запускать от рута. Пока не знаю, как решить следующие проблемы:
> 1)  Программа предполагает правку sudoers. Могу это дело засунуть в
> postinstall скрипты, корректно ли это будет?

Врядли.

> 2)  Одно из главных назначений программы - правка конфигов в /etc
> через веб интерфейс (не своих, а вообще другого пакета). Сам веб
> интерфейс работает из под апача. Соответственно вовремя установки
> программа пытается менять права на эти чужие конфиги таким образом,
> чтобы группа www сервера имела право на запись.Можно ли смену прав
> автоматизировать или лучше написать об этом в howto,чтобы пользователь
> сам?

Это действительно настолько "интересная софтинка"?


-- 
Led

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] Правка файлов в /etc вовремя установки
  2008-06-17  9:33 ` Epiphanov Sergei
@ 2008-06-17  9:39   ` Max Ivanov
  2008-06-17  9:45     ` Dmitriy M. Maslennikov
  2008-06-17  9:47     ` Anton Farygin
  0 siblings, 2 replies; 12+ messages in thread
From: Max Ivanov @ 2008-06-17  9:39 UTC (permalink / raw)
  To: ALT Linux Team development discussions

Это веб конфигурилка к nagios её основная цель, как раз править
конфиги в /etc от имени www сервера.

Как сейчас у нас alterator-www делает все что захочешь с системой?

> Что-то мне не нравится это. Если пользователь, под которым работает
> www-сервер, сможет править системные конфиги в /etc, то это будет большая
> дыра. Кроме того, некоторые программы (тот же sudo) требуют, чтобы права и
> владелец/группа на системные файлы (и/или каталоги) были определённые.

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] Правка файлов в /etc вовремя установки
  2008-06-17  9:39 ` Led
@ 2008-06-17  9:41   ` Max Ivanov
  0 siblings, 0 replies; 12+ messages in thread
From: Max Ivanov @ 2008-06-17  9:41 UTC (permalink / raw)
  To: ALT Linux Team development discussions

Centreon - веб обёртка вокруг nagios.
Фичи: http://www.centreon.com/Product/Features-Centreon-2.0.html
Скриншоты: http://www.centreon.com/Product/Screenshots.html

> Это действительно настолько "интересная софтинка"?
>
>
> --
> Led
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] Правка файлов в /etc вовремя установки
  2008-06-17  9:39   ` Max Ivanov
@ 2008-06-17  9:45     ` Dmitriy M. Maslennikov
  2008-06-17  9:47     ` Anton Farygin
  1 sibling, 0 replies; 12+ messages in thread
From: Dmitriy M. Maslennikov @ 2008-06-17  9:45 UTC (permalink / raw)
  To: ALT Linux Team development discussions

17.06.08, Max Ivanov<ivanov.maxim@gmail.com> написал(а):
> Это веб конфигурилка к nagios её основная цель, как раз править
>  конфиги в /etc от имени www сервера.
>
>  Как сейчас у нас alterator-www делает все что захочешь с системой?
Ну это можно делать либо suid'ными утилитами, либо взывая к демону,
запущенному от рута. Так как веб-сервера все дырявые, то им лучше
таких больших прав не давать.

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] Правка файлов в /etc вовремя установки
  2008-06-17  9:39   ` Max Ivanov
  2008-06-17  9:45     ` Dmitriy M. Maslennikov
@ 2008-06-17  9:47     ` Anton Farygin
  2008-06-17  9:56       ` Max Ivanov
  2008-06-17  9:56       ` Dmitriy M. Maslennikov
  1 sibling, 2 replies; 12+ messages in thread
From: Anton Farygin @ 2008-06-17  9:47 UTC (permalink / raw)
  To: ALT Linux Team development discussions



Max Ivanov пишет:
> Это веб конфигурилка к nagios её основная цель, как раз править
> конфиги в /etc от имени www сервера.
> 
> Как сейчас у нас alterator-www делает все что захочешь с системой?

Альтератор работает от рута, а www интерфейс - от apache.

Общаются они через сокет.




^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] Правка файлов в /etc вовремя установки
  2008-06-17  9:47     ` Anton Farygin
@ 2008-06-17  9:56       ` Max Ivanov
  2008-06-17 10:10         ` Alexey I. Froloff
  2008-06-17  9:56       ` Dmitriy M. Maslennikov
  1 sibling, 1 reply; 12+ messages in thread
From: Max Ivanov @ 2008-06-17  9:56 UTC (permalink / raw)
  To: ALT Linux Team development discussions

Хорошо, переписывать само приложение на подобный стиль работы я не
собираюсь. Предлагаю вот что:
1) Создать отдельный пакет, который всё настроит из своего
postinstall. Сам этот пакет  автоматом ставится не будет. Назвём его,
скажем, centreon-autosetup
2) В QuickHowTo в основном пакете укажу что надо сделать руками, чтобы
заработало, и добавлю, что если сильно лениво, можете поставить
centreon-autosetup.
3) Можно ли в rpm, как в гентушных ebuild'ах выводить неинтерактивные
сообщения пользователю? Т.е. я понимаю, что можно просто echo
сделать, я имею ввиду какой-нибудь особый макрос который не только на
экран выведет, но и в какой-нибудь особый лог файл сложит, чтобы
пользователь мог прочитать все сообщения, даже если он пачкой ставит
немерянное количество rpm'ок.

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] Правка файлов в /etc вовремя установки
  2008-06-17  9:47     ` Anton Farygin
  2008-06-17  9:56       ` Max Ivanov
@ 2008-06-17  9:56       ` Dmitriy M. Maslennikov
  2008-06-17 11:45         ` Epiphanov Sergei
  1 sibling, 1 reply; 12+ messages in thread
From: Dmitriy M. Maslennikov @ 2008-06-17  9:56 UTC (permalink / raw)
  To: ALT Linux Team development discussions

17.06.08, Anton Farygin<rider@altlinux.com> написал(а):
>  Альтератор работает от рута, а www интерфейс - от apache.
>
>  Общаются они через сокет.
Правда от уязвимости, которая позволяет выполнить произвольный код это
не спасет. Но спасет от уязвимости, которая, скажем позволяет получить
или загрузить произвольный файл.

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] Правка файлов в /etc вовремя установки
  2008-06-17  9:56       ` Max Ivanov
@ 2008-06-17 10:10         ` Alexey I. Froloff
  0 siblings, 0 replies; 12+ messages in thread
From: Alexey I. Froloff @ 2008-06-17 10:10 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 407 bytes --]

* Max Ivanov <ivanov.maxim@> [080617 14:06]:
> 1) Создать отдельный пакет, который всё настроит из своего
> postinstall. Сам этот пакет  автоматом ставится не будет. Назвём его,
> скажем, centreon-autosetup
Права слетят при следующем обновлении "другого пакета".  Лучше
договоритесь с мантейнером и/или используйте suid'ные helper'ы
или sudo (кстати, есть /etc/sudo.d/).

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] Правка файлов в /etc вовремя установки
  2008-06-17  9:56       ` Dmitriy M. Maslennikov
@ 2008-06-17 11:45         ` Epiphanov Sergei
  0 siblings, 0 replies; 12+ messages in thread
From: Epiphanov Sergei @ 2008-06-17 11:45 UTC (permalink / raw)
  To: ALT Linux Team development discussions

В сообщении от Tuesday 17 June 2008 13:56:48 Dmitriy M. Maslennikov 
написал(а):
> >  Альтератор работает от рута, а www интерфейс - от apache.
> >  Общаются они через сокет.
>
> Правда от уязвимости, которая позволяет выполнить произвольный код это
> не спасет. Но спасет от уязвимости, которая, скажем позволяет получить
> или загрузить произвольный файл.

Спасёт от уязвимости, так как всё равно в системе не напортачишь. Так как 
тогда зловредный код сможет по своему усмотрению перелопатить настройки 
сервера. Что вы получите - не знаю. Например, xinetd время от времени 
перечитывает свои конфигурационные файлы. И такая безалаберность с правами 
позволит запустить программу-сервер от лица root, а потом уже root-ом 
устроить любой погром в системе.

-- 
С уважением, Епифанов Сергей

^ permalink raw reply	[flat|nested] 12+ messages in thread

end of thread, other threads:[~2008-06-17 11:45 UTC | newest]

Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-06-17  9:23 [devel] Правка файлов в /etc вовремя установки Max Ivanov
2008-06-17  9:33 ` Epiphanov Sergei
2008-06-17  9:39   ` Max Ivanov
2008-06-17  9:45     ` Dmitriy M. Maslennikov
2008-06-17  9:47     ` Anton Farygin
2008-06-17  9:56       ` Max Ivanov
2008-06-17 10:10         ` Alexey I. Froloff
2008-06-17  9:56       ` Dmitriy M. Maslennikov
2008-06-17 11:45         ` Epiphanov Sergei
2008-06-17  9:38 ` Dmitriy M. Maslennikov
2008-06-17  9:39 ` Led
2008-06-17  9:41   ` Max Ivanov

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git