From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <3ED1EB52.80803@users.sourceforge.net> Date: Mon, 26 May 2003 14:24:18 +0400 From: Ildar Mulyukov User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.3) Gecko/20030331 X-Accept-Language: tt, ru, en-us MIME-Version: 1.0 To: sisyphus@altlinux.ru Subject: Re: [sisyphus] Re: Fwd: Re: [Comm] start-stop-daemon References: <200305252137.24472.fred@inion.ru> <20030525185917.GA30249@basalt.office.altlinux.org> <20030525191948.GB18884@osdn.org.ua> <20030525193235.GB30347@basalt.office.altlinux.org> <20030525194428.GC18884@osdn.org.ua> <20030525201320.GA30529@basalt.office.altlinux.org> <20030526072848.GL18884@osdn.org.ua> <20030526090054.GD1973@basalt.office.altlinux.org> In-Reply-To: <20030526090054.GD1973@basalt.office.altlinux.org> X-Enigmail-Version: 0.73.1.0 X-Enigmail-Supports: pgp-inline, pgp-mime Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit X-Spam-Status: No, hits=-0.9 required=8.0 tests=FWD_MSG,QUOTED_EMAIL_TEXT,USER_AGENT_MOZILLA_UA, X_ACCEPT_LANG version=2.55-cmail X-Spam-Checker-Version: SpamAssassin 2.55-cmail (1.174.2.19-2003-05-19-exp) Sender: sisyphus-admin@altlinux.ru Errors-To: sisyphus-admin@altlinux.ru X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.0.9 Precedence: bulk Reply-To: sisyphus@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: Полностью согласен с Дмитрием. Давно пора тщательно задекларировать группы и раздать права. Конечно, не стоит особенно заострять внимание на частностях (отдельные пакеты создают свои группы), хотя тоже надо явно прописать политику. Но главное - это системные группы пользователей со своими правами - группа консольных пользователей, группа имеющих доступ к raw-devices, группа мОгущих монтировать диски и т.д. В будущем - системные тулы для раздачи прав (поправка: для внесения пользователей в группы) Это моё мнение, прошу воспринять великодушно. С уважением, Ильдар. Dmitry V. Levin пишет: > On Mon, May 26, 2003 at 10:28:48AM +0300, Michael Shigorin wrote: > >>On Mon, May 26, 2003 at 12:13:20AM +0400, Dmitry V. Levin wrote: >> >>>Можно сделать, чтобы оно запускало service crond userstatus >>>Другое дело, что пользователю проверять статус системных >>>сервисов не к лицу. >> >>Это еще почему? Этак мы еще до -o noexec на /home из коробки >>доберемся. И останется только повеситься. > > > Хм, noexec на /home из коробки - это была бы неплохая опция > для installer'а, стоит повесить FR. > > Равно как и > nodev на /usr > nosuid,nodev на /var > noexec,nosuid,nodev на /tmp > nosuid,nodev на /home > > >>>>Пользователю-то от этого не легче. "Работало -- сломалось". >>> >>>Если пользователь хочет выполнять системые привилегированные >>>задачи, то это почти так же плохо, как и выполнение рутом >>>пользовательских задач. >> >>И какая это привелегированная задача, если "раньше работало"? > > > Раньше работало неправильно, и root находил "левые" процессы, я об этом > писал в devel@ > > >>>А pidof smbd nmbd никто и не отменял. Разумеется, и гарантий, >>>что будет найдено то, что нужно, тоже никто не даст. >> >>Вот. На таких условиях хочу видеть нормальный service xxx status >>от пользователя. >> >>Лучше синица в руке, чем журавль в небе, особенно если для >>смотрения на него нужно разрешение в кабмине. :-/ > > > Я подумаю, как это лучше сделать. FR на пакет service, please. > > > -- > ldv -- Ildar Mulyukov, free SW designer/programmer ================================================ email: ildar@users.sourceforge.net projects: http://os-development.sourceforge.net/ home: http://www.faki.mipt.ru/~ildar ================================================