From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Sun, 25 May 2003 23:32:35 +0400 From: "Dmitry V. Levin" To: ALT Linux Sisyphus mailing list Subject: Re: [sisyphus] Re: Fwd: Re: [Comm] start-stop-daemon Message-ID: <20030525193235.GB30347@basalt.office.altlinux.org> Mail-Followup-To: ALT Linux Sisyphus mailing list References: <200305252137.24472.fred@inion.ru> <20030525185917.GA30249@basalt.office.altlinux.org> <20030525191948.GB18884@osdn.org.ua> Mime-Version: 1.0 Content-Type: multipart/signed; micalg=pgp-sha1; protocol="application/pgp-signature"; boundary="NDin8bjvE/0mNLFQ" Content-Disposition: inline In-Reply-To: <20030525191948.GB18884@osdn.org.ua> X-fingerprint: 9658 398D 181B 1200 8FC5 26B8 F6F8 846B C1E2 3429 Sender: sisyphus-admin@altlinux.ru Errors-To: sisyphus-admin@altlinux.ru X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.0.9 Precedence: bulk Reply-To: sisyphus@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: --NDin8bjvE/0mNLFQ Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit On Sun, May 25, 2003 at 10:19:48PM +0300, Michael Shigorin wrote: > On Sun, May 25, 2003 at 10:59:17PM +0400, Dmitry V. Levin wrote: > > Ну вот, выводы делайте сами. > > Ну так хоть /usr/bin/service "а-ля юзер" сделать можно? Чего именно? service crond userstatus? Проблема гораздо глубже, чем кажется на первый взгляд: $ readlink -v /proc/3014/exe readlink: /proc/3014/exe: Permission denied # readlink -v /proc/3014/exe /usr/sbin/crond И это даже не ALT-specific. > Мне вот что не нравится: вместе со всем (здравым) privsep'ом > увеличивается количество ситуаций, когда для того, чтобы "это" > все-таки работало, надо получить euid == 0. Зачем это? > Напомню касательно /boot и /lib/modules (там, кстати, может пойти > вариант wheelonly в качестве штатного): действия, которые в > большинстве дистрибутивов _не_ требуют привилегий root для > консультативных действий, у нас их _требуют_. Это не всегда > оптимально. Права на /boot и /lib/modules не на что не влияют, кроме того, что некоторые программы постоянно забывают там файлы с неправильными правами, и самый простой способ это исправить в рамках дистрибутива - закрыть каталоги. > Пускать sudo service вместо /sbin/service привыкнуть можно, как > уже привык пускать sudo ls -l /boot -- но неправильно это. :) -- ldv --NDin8bjvE/0mNLFQ Content-Type: application/pgp-signature Content-Disposition: inline -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2 (GNU/Linux) iD8DBQE+0RpT9viEa8HiNCkRAqFXAJ99M51OfCbJXk2xfhIgcyEtYDFcLQCcCjuB ghIKGmntJ1JYy+aODP0DzcM= =OJ8s -----END PGP SIGNATURE----- --NDin8bjvE/0mNLFQ--