On Sun, May 25, 2003 at 11:32:35PM +0400, Dmitry V. Levin wrote: > > > Ну вот, выводы делайте сами. > > Ну так хоть /usr/bin/service "а-ля юзер" сделать можно? > Чего именно? service crond userstatus? Или так, хотя IMO /u/b/s лучше. > Проблема гораздо глубже, чем кажется на первый взгляд: > $ readlink -v /proc/3014/exe > readlink: /proc/3014/exe: Permission denied > # readlink -v /proc/3014/exe > /usr/sbin/crond > > И это даже не ALT-specific. Пользователю-то от этого не легче. "Работало -- сломалось". Виноват тот, кто попался под руку, и лишь во вторую очередь -- дистрибутор. (то, что "проблема глубже" -- не волнует уже практически никого, и это правильно -- на то он и дистрибутор, чтобы _изолировать_ пользователя от этой проблемы) > > Мне вот что не нравится: вместе со всем (здравым) privsep'ом > > увеличивается количество ситуаций, когда для того, чтобы > > "это" все-таки работало, надо получить euid == 0. > Зачем это? Привести выдержку из своего menu.lst, скажем. Вне административного контекста применительно к системе, которая оказалась под руками в момент оказания помощи. > Права на /boot и /lib/modules не на что не влияют, кроме того, > что некоторые программы постоянно забывают там файлы с > неправильными правами, и самый простой способ это исправить в > рамках дистрибутива - закрыть каталоги. Так "самые простые пути" я помню года так с '96--'97 -- route9, что ли, рэкомендовал для юникс-систем нечто вроде chown -R root.root / chmod -R o-rwx / ...а дальше секьюрно работать рутом. Типа умный... Я понимаю, что это постоянный tradeoff, но в нем _надо_ (a must) знать меру -- где мизерный выигрыш в безопасности или "простоте для дистрибутора" оборачивается постоянными неудобствами при (гм) поддержке пользователей дистрибутива. (здесь я еще добрый -- мне не приходилось (пока) выковыривать нужные данные по телефону в тех местах, где пользователи -- _пользователи_ и административных прав им не положено, а ехать непродуктивно) > > Пускать sudo service вместо /sbin/service привыкнуть можно, как > > уже привык пускать sudo ls -l /boot -- но неправильно это. > :) :-/ -- ---- WBR, Michael Shigorin ------ Linux.Kiev http://www.linux.kiev.ua/