From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Sun, 25 May 2003 22:44:28 +0300 From: Michael Shigorin To: ALT Linux Sisyphus mailing list Message-ID: <20030525194428.GC18884@osdn.org.ua> Mail-Followup-To: ALT Linux Sisyphus mailing list References: <200305252137.24472.fred@inion.ru> <20030525185917.GA30249@basalt.office.altlinux.org> <20030525191948.GB18884@osdn.org.ua> <20030525193235.GB30347@basalt.office.altlinux.org> Mime-Version: 1.0 Content-Type: multipart/signed; micalg=pgp-sha1; protocol="application/pgp-signature"; boundary="lCAWRPmW1mITcIfM" Content-Disposition: inline In-Reply-To: <20030525193235.GB30347@basalt.office.altlinux.org> User-Agent: Mutt/1.4.1i Subject: [sisyphus] Re: Fwd: Re: [Comm] start-stop-daemon Sender: sisyphus-admin@altlinux.ru Errors-To: sisyphus-admin@altlinux.ru X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.0.9 Precedence: bulk Reply-To: sisyphus@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: --lCAWRPmW1mITcIfM Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit On Sun, May 25, 2003 at 11:32:35PM +0400, Dmitry V. Levin wrote: > > > Ну вот, выводы делайте сами. > > Ну так хоть /usr/bin/service "а-ля юзер" сделать можно? > Чего именно? service crond userstatus? Или так, хотя IMO /u/b/s лучше. > Проблема гораздо глубже, чем кажется на первый взгляд: > $ readlink -v /proc/3014/exe > readlink: /proc/3014/exe: Permission denied > # readlink -v /proc/3014/exe > /usr/sbin/crond > > И это даже не ALT-specific. Пользователю-то от этого не легче. "Работало -- сломалось". Виноват тот, кто попался под руку, и лишь во вторую очередь -- дистрибутор. (то, что "проблема глубже" -- не волнует уже практически никого, и это правильно -- на то он и дистрибутор, чтобы _изолировать_ пользователя от этой проблемы) > > Мне вот что не нравится: вместе со всем (здравым) privsep'ом > > увеличивается количество ситуаций, когда для того, чтобы > > "это" все-таки работало, надо получить euid == 0. > Зачем это? Привести выдержку из своего menu.lst, скажем. Вне административного контекста применительно к системе, которая оказалась под руками в момент оказания помощи. > Права на /boot и /lib/modules не на что не влияют, кроме того, > что некоторые программы постоянно забывают там файлы с > неправильными правами, и самый простой способ это исправить в > рамках дистрибутива - закрыть каталоги. Так "самые простые пути" я помню года так с '96--'97 -- route9, что ли, рэкомендовал для юникс-систем нечто вроде chown -R root.root / chmod -R o-rwx / ...а дальше секьюрно работать рутом. Типа умный... Я понимаю, что это постоянный tradeoff, но в нем _надо_ (a must) знать меру -- где мизерный выигрыш в безопасности или "простоте для дистрибутора" оборачивается постоянными неудобствами при (гм) поддержке пользователей дистрибутива. (здесь я еще добрый -- мне не приходилось (пока) выковыривать нужные данные по телефону в тех местах, где пользователи -- _пользователи_ и административных прав им не положено, а ехать непродуктивно) > > Пускать sudo service вместо /sbin/service привыкнуть можно, как > > уже привык пускать sudo ls -l /boot -- но неправильно это. > :) :-/ -- ---- WBR, Michael Shigorin ------ Linux.Kiev http://www.linux.kiev.ua/ --lCAWRPmW1mITcIfM Content-Type: application/pgp-signature Content-Disposition: inline -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQE+0R0cbsPDprYMm3IRAmhrAJ9+pSJszylpDJHL04u9JHGqAs0BGgCgzxxE Y4/3otRLXaL8QsxdLhQESgs= =LWRI -----END PGP SIGNATURE----- --lCAWRPmW1mITcIfM--