ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
* [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/
@ 2011-03-05 11:59 "А. Куликовский"
  2011-03-09 16:47 ` "А. Куликовский"
  2011-03-16 10:32 ` "А. Куликовский"
  0 siblings, 2 replies; 10+ messages in thread
From: "А. Куликовский" @ 2011-03-05 11:59 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Доброго времени!

Установил Школьный Сервер 5.0.2, smbldap-tools, прднял PDC, и всё бы 
хорошо было, но!... Создаю юзера через альтератор -- на его "домашнем" 
получаю права доступа 755 :(. То же и через smbldap-useradd. Грешил было 
на smbldap-tools, но там явно и неявно -- 700. Создаю через useradd -- 
700. Но это "не наш метод", этот юзер в tcb-passwd, а не в лдап и 
оффтопик-домене соответственно.
Вспоминаю об пробном тазике (Школьный 5.0.1),там такая же картина -- 
755. Переустановил на нем 5.0.2, пока без smbldap-tools и домна -- те же 
755.
А вот на Школьном Мастере всё в порядке -- 700.
Куда смотреть, что делать?

-- 
С уважением, А.Куликовский
Гимназия №1, г.Дзержинск, РБ


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/
  2011-03-05 11:59 [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/ "А. Куликовский"
@ 2011-03-09 16:47 ` "А. Куликовский"
  2011-03-16 10:32 ` "А. Куликовский"
  1 sibling, 0 replies; 10+ messages in thread
From: "А. Куликовский" @ 2011-03-09 16:47 UTC (permalink / raw)
  To: ALT Linux sysadmins' discussion

05.03.2011 13:59, "А. Куликовский" пишет:
> Доброго времени!
> 
> Установил Школьный Сервер 5.0.2, smbldap-tools, прднял PDC, и всё бы
> хорошо было, но!... Создаю юзера через альтератор -- на его "домашнем"
> получаю права доступа 755 :(. То же и через smbldap-useradd. Грешил было
> на smbldap-tools, но там явно и неявно -- 700. Создаю через useradd --
> 700. Но это "не наш метод", этот юзер в tcb-passwd, а не в лдап и
> оффтопик-домене соответственно.
> Вспоминаю об пробном тазике (Школьный 5.0.1),там такая же картина --
> 755. Переустановил на нем 5.0.2, пока без smbldap-tools и домна -- те же
> 755.
> А вот на Школьном Мастере всё в порядке -- 700.
> Куда смотреть, что делать?
> 
Не уж-то это только у меня снаряд трижды в одну и ту же воронку падает?

-- 
С уважением, А.Куликовский
Гимназия №1 г.Дзержинска, РБ


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/
  2011-03-05 11:59 [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/ "А. Куликовский"
  2011-03-09 16:47 ` "А. Куликовский"
@ 2011-03-16 10:32 ` "А. Куликовский"
  2011-03-16 13:47   ` Anton Farygin
  1 sibling, 1 reply; 10+ messages in thread
From: "А. Куликовский" @ 2011-03-16 10:32 UTC (permalink / raw)
  To: ALT Linux sysadmins' discussion

05.03.2011 13:59, "А. Куликовский" пишет:
> Доброго времени!
>
> Установил Школьный Сервер 5.0.2, smbldap-tools, прднял PDC, и всё бы 
> хорошо было, но!... Создаю юзера через альтератор -- на его "домашнем" 
> получаю права доступа 755 :(. То же и через smbldap-useradd. Грешил 
> было на smbldap-tools, но там явно и неявно -- 700. Создаю через 
> useradd -- 700. Но это "не наш метод", этот юзер в tcb-passwd, а не в 
> лдап и оффтопик-домене соответственно.
> Вспоминаю об пробном тазике (Школьный 5.0.1),там такая же картина -- 
> 755. Переустановил на нем 5.0.2, пока без smbldap-tools и домна -- те 
> же 755.
> А вот на Школьном Мастере всё в порядке -- 700.
> Куда смотреть, что делать?
>
Доброго времени суток, уважаемые!

Следует ли понимать, что молчание общественности вокруг того факта, что 
в свежеустановленном ALT Linux School Server 5.0 на домашние каталоги 
создаваемых пользователей устанавливаются права доступа 755, то есть 
любой пользователь может просматривать и читать файлы любого другого 
пользователя -- в отличии от ALT Linux School Server 4 или ALT Linux 
School Master 5.0, где права на каталоги 700 -- является подтверждением 
нормальности такого положения вещей для _школьного сервера_ (хотя и 
школьного, но всё-таки сервера)?
Благодарю за ответы!

-- 
С уважением, А.Куликовский
Гимназия №1, г.Дзержинск, РБ



^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/
  2011-03-16 10:32 ` "А. Куликовский"
@ 2011-03-16 13:47   ` Anton Farygin
  2011-03-16 14:22     ` Michael Shigorin
  0 siblings, 1 reply; 10+ messages in thread
From: Anton Farygin @ 2011-03-16 13:47 UTC (permalink / raw)
  To: sysadmins

16.03.2011 13:32, "А. Куликовский" пишет:
> 05.03.2011 13:59, "А. Куликовский" пишет:
>> Доброго времени!
>>
>> Установил Школьный Сервер 5.0.2, smbldap-tools, прднял PDC, и всё бы
>> хорошо было, но!... Создаю юзера через альтератор -- на его "домашнем"
>> получаю права доступа 755 :(. То же и через smbldap-useradd. Грешил
>> было на smbldap-tools, но там явно и неявно -- 700. Создаю через
>> useradd -- 700. Но это "не наш метод", этот юзер в tcb-passwd, а не в
>> лдап и оффтопик-домене соответственно.
>> Вспоминаю об пробном тазике (Школьный 5.0.1),там такая же картина --
>> 755. Переустановил на нем 5.0.2, пока без smbldap-tools и домна -- те
>> же 755.
>> А вот на Школьном Мастере всё в порядке -- 700.
>> Куда смотреть, что делать?
>>
> Доброго времени суток, уважаемые!
>
> Следует ли понимать, что молчание общественности вокруг того факта, что
> в свежеустановленном ALT Linux School Server 5.0 на домашние каталоги
> создаваемых пользователей устанавливаются права доступа 755, то есть
> любой пользователь может просматривать и читать файлы любого другого
> пользователя -- в отличии от ALT Linux School Server 4 или ALT Linux
> School Master 5.0, где права на каталоги 700 -- является подтверждением
> нормальности такого положения вещей для _школьного сервера_ (хотя и
> школьного, но всё-таки сервера)?
> Благодарю за ответы!

скорее у вас не совсем корректное место для вопроса.

если у вас продукт официальный, с купончиком на тех. поддержку - 
обратитесь туда,

А если нет, то лучше с такими вопросами на форум - пользователи 
школьного дистрибутива в основном на форуме общаются, видимо ответа на 
ваш вопрос в этой рассылки никто не знает, потому что не пользуется 
вышеназванным продуктом.

ну, или в bugzilla, если есть возможность воспроизводить ошибку.



^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/
  2011-03-16 13:47   ` Anton Farygin
@ 2011-03-16 14:22     ` Michael Shigorin
  2011-03-16 16:54       ` "А. Куликовский"
  0 siblings, 1 reply; 10+ messages in thread
From: Michael Shigorin @ 2011-03-16 14:22 UTC (permalink / raw)
  To: sysadmins

On Wed, Mar 16, 2011 at 04:47:32PM +0300, Anton Farygin wrote:
> >>Вспоминаю об пробном тазике (Школьный 5.0.1),там такая же
> >>картина -- 755. Переустановил на нем 5.0.2, пока без
> >>smbldap-tools и домна -- те же 755.  А вот на Школьном
> >>Мастере всё в порядке -- 700.  Куда смотреть, что делать?
> >Следует ли понимать, что молчание общественности вокруг того
> >факта, что в свежеустановленном ALT Linux School Server 5.0 на
> >домашние каталоги создаваемых пользователей устанавливаются
> >права доступа 755, то есть любой пользователь может
> >просматривать и читать файлы любого другого пользователя --

Нет, конечно.  Возможность доступа по чтению к файлам
регулируется правами на эти файлы.  При этом ~, ~/Documents
и ~/tmp "из коробки" имеют права 0700 в качестве меры
_дополнительного_ ограждения.

> >в отличии от ALT Linux School Server 4 или ALT Linux School
> >Master 5.0, где права на каталоги 700 -- является
> >подтверждением нормальности такого положения вещей для
> >_школьного сервера_ (хотя и школьного, но всё-таки сервера)?

Думаю, да.  Не смотрел, но выглядит явно как специально
оформленная фича.  См. тж. /etc/login.defs

> скорее у вас не совсем корректное место для вопроса.

Ну почему же -- для этого вопроса примерно как и community@.

> ну, или в bugzilla, если есть возможность воспроизводить ошибку.

Это не ошибка, а вопрос культуры -- как на местах, так и в
дистрибутиве.  Как и "всех в группу users" или "per-user groups".

То есть ни 700, ни 711, ни 751 или 755 нельзя считать ошибкой
в отрыве от контекста: где-то принято сказать "посмотри мой
~/.screenrc", а где-то для разделяемого барахлишка делается
разделяемый каталог в явном виде.  Также не забываем про
~/public_html (хотя для этого как раз достаточно 711).

Мне лично кажется, что для школьного сервера это как раз более
удачный дефолт, чем 700.  Если в конкретном месте это не так --
перенастройте.  Если же во многих местах окажется нужным
перенастроить -- вот тогда имеет смысл поднимать вопрос
об изменении этого дефолта для этого дистрибутива.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/
  2011-03-16 14:22     ` Michael Shigorin
@ 2011-03-16 16:54       ` "А. Куликовский"
  2011-03-16 17:43         ` Mikhail Efremov
  0 siblings, 1 reply; 10+ messages in thread
From: "А. Куликовский" @ 2011-03-16 16:54 UTC (permalink / raw)
  To: shigorin, ALT Linux sysadmins' discussion

16.03.2011 16:22, Michael Shigorin пишет:
> On Wed, Mar 16, 2011 at 04:47:32PM +0300, Anton Farygin wrote:
>>>> Вспоминаю об пробном тазике (Школьный 5.0.1),там такая же
>>>> картина -- 755. Переустановил на нем 5.0.2, пока без
>>>> smbldap-tools и домна -- те же 755.  А вот на Школьном
>>>> Мастере всё в порядке -- 700.  Куда смотреть, что делать?
>>> Следует ли понимать, что молчание общественности вокруг того
>>> факта, что в свежеустановленном ALT Linux School Server 5.0 на
>>> домашние каталоги создаваемых пользователей устанавливаются
>>> права доступа 755, то есть любой пользователь может
>>> просматривать и читать файлы любого другого пользователя --
> 
> Нет, конечно.  Возможность доступа по чтению к файлам
> регулируется правами на эти файлы.  При этом ~, ~/Documents
> и ~/tmp "из коробки" имеют права 0700 в качестве меры
> _дополнительного_ ограждения.
_Все_ каталоги внутри ~ тоже 755,   файлы -- 640

>>> в отличии от ALT Linux School Server 4 или ALT Linux School
>>> Master 5.0, где права на каталоги 700 -- является
>>> подтверждением нормальности такого положения вещей для
>>> _школьного сервера_ (хотя и школьного, но всё-таки сервера)?
> 
> Думаю, да.  Не смотрел, но выглядит явно как специально
> оформленная фича.  См. тж. /etc/login.defs
там вот так:
# The umask to use when creating user home directories.  The default
# is 077.
#
#UMASK			77
т.е. как будто дефолтно  700, или как?

> 
>> ну, или в bugzilla, если есть возможность воспроизводить ошибку.
Еще как воспроизводится!
По совету более опытных товарищей -- #25244

> Это не ошибка, а вопрос культуры -- как на местах, так и в
> дистрибутиве.  Как и "всех в группу users" или "per-user groups".
> 
> То есть ни 700, ни 711, ни 751 или 755 нельзя считать ошибкой
> в отрыве от контекста: где-то принято сказать "посмотри мой
> ~/.screenrc", а где-то для разделяемого барахлишка делается
> разделяемый каталог в явном виде.  Также не забываем про
> ~/public_html (хотя для этого как раз достаточно 711).
Вот я тоже за "разделяемый каталог в явном виде" !!
А поскольку у нас всё окружение - оффтопик, то и не один расшаренный по
самбе.

> Мне лично кажется, что для школьного сервера это как раз более
> удачный дефолт, чем 700.  
Ну, если дать особо одаренным юным кулхацкерам лазейку подсмотреть
тексты будущей контрольной, то таки да!  Оно мне надо??   :))))

> Если в конкретном месте это не так --
> перенастройте.  
Если бы смог найти, где и что изменить, то и не отнимал бы время
попусту, но увы... А так... поставил костыль, по крону проверяет новых
юзеров, правит... Но это ведь "не наш метод"! А сервер надо "ещё вчера"
отдавать коллегам...

> Если же во многих местах окажется нужным
> перенастроить -- вот тогда имеет смысл поднимать вопрос
> об изменении этого дефолта для этого дистрибутива.
> 


-- 
С уважением, А.Куликовский
Гимназия №1 г.Дзержинска, РБ


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/
  2011-03-16 16:54       ` "А. Куликовский"
@ 2011-03-16 17:43         ` Mikhail Efremov
  2011-03-16 17:54           ` Mikhail Efremov
  0 siblings, 1 reply; 10+ messages in thread
From: Mikhail Efremov @ 2011-03-16 17:43 UTC (permalink / raw)
  To: sysadmins

On Wed, 16 Mar 2011 18:54:14 +0200 А. Куликовский wrote:
> > Если в конкретном месте это не так --
> > перенастройте.  
> Если бы смог найти, где и что изменить, то и не отнимал бы время
> попусту, но увы... А так... поставил костыль, по крону проверяет новых
> юзеров, правит... Но это ведь "не наш метод"! А сервер надо "ещё вчера"
> отдавать коллегам...

Добавьте umask=077 для pam_mkhomedir.so в /etc/pam.d/system-auth.

-- 
WBR, Mikhail Efremov


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/
  2011-03-16 17:43         ` Mikhail Efremov
@ 2011-03-16 17:54           ` Mikhail Efremov
  2011-03-16 18:20             ` Mikhail Efremov
  0 siblings, 1 reply; 10+ messages in thread
From: Mikhail Efremov @ 2011-03-16 17:54 UTC (permalink / raw)
  To: sysadmins

On Wed, 16 Mar 2011 20:43:27 +0300 Mikhail Efremov wrote:
> On Wed, 16 Mar 2011 18:54:14 +0200 А. Куликовский wrote:
> > > Если в конкретном месте это не так --
> > > перенастройте.  
> > Если бы смог найти, где и что изменить, то и не отнимал бы время
> > попусту, но увы... А так... поставил костыль, по крону проверяет новых
> > юзеров, правит... Но это ведь "не наш метод"! А сервер надо "ещё вчера"
> > отдавать коллегам...
> 
> Добавьте umask=077 для pam_mkhomedir.so в /etc/pam.d/system-auth.

Хотя нет, тогда и все файлы в каталоге тоже с этим umask создаются.

-- 
WBR, Mikhail Efremov


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/
  2011-03-16 17:54           ` Mikhail Efremov
@ 2011-03-16 18:20             ` Mikhail Efremov
  2011-03-16 20:05               ` "А. Куликовский"
  0 siblings, 1 reply; 10+ messages in thread
From: Mikhail Efremov @ 2011-03-16 18:20 UTC (permalink / raw)
  To: sysadmins

On Wed, 16 Mar 2011 20:54:19 +0300 Mikhail Efremov wrote:
> On Wed, 16 Mar 2011 20:43:27 +0300 Mikhail Efremov wrote:
> > On Wed, 16 Mar 2011 18:54:14 +0200 А. Куликовский wrote:
> > > > Если в конкретном месте это не так --
> > > > перенастройте.  
> > > Если бы смог найти, где и что изменить, то и не отнимал бы время
> > > попусту, но увы... А так... поставил костыль, по крону проверяет новых
> > > юзеров, правит... Но это ведь "не наш метод"! А сервер надо "ещё вчера"
> > > отдавать коллегам...
> > 
> > Добавьте umask=077 для pam_mkhomedir.so в /etc/pam.d/system-auth.
> 
> Хотя нет, тогда и все файлы в каталоге тоже с этим umask создаются.

... но ничего плохого в этом нет :). Собственно useradd поступает так
же. Это я о чем-то не о том подумал, видимо.

-- 
WBR, Mikhail Efremov


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/
  2011-03-16 18:20             ` Mikhail Efremov
@ 2011-03-16 20:05               ` "А. Куликовский"
  0 siblings, 0 replies; 10+ messages in thread
From: "А. Куликовский" @ 2011-03-16 20:05 UTC (permalink / raw)
  To: ALT Linux sysadmins' discussion

16.03.2011 20:20, Mikhail Efremov пишет:
> On Wed, 16 Mar 2011 20:54:19 +0300 Mikhail Efremov wrote:
>> On Wed, 16 Mar 2011 20:43:27 +0300 Mikhail Efremov wrote:
>>> On Wed, 16 Mar 2011 18:54:14 +0200 А. Куликовский wrote:
>>>>> Если в конкретном месте это не так --
>>>>> перенастройте.  
>>>> Если бы смог найти, где и что изменить, то и не отнимал бы время
>>>> попусту, но увы... А так... поставил костыль, по крону проверяет новых
>>>> юзеров, правит... Но это ведь "не наш метод"! А сервер надо "ещё вчера"
>>>> отдавать коллегам...
>>>
>>> Добавьте umask=077 для pam_mkhomedir.so в /etc/pam.d/system-auth.
>>
>> Хотя нет, тогда и все файлы в каталоге тоже с этим umask создаются.
> 
> ... но ничего плохого в этом нет :). Собственно useradd поступает так
> же. Это я о чем-то не о том подумал, видимо.
> 
Спасибо, оно самое! Каталоги -- 700, файлы -- 600.
Ну а что до public_html, так это можно и ручками.
ЗЫ: Да, уж, фри-софтварьная мысль идет вперед семимильными шагами, не
уследит и не догнать... :)

-- 
С уважением, А.Куликовский
Гимназия №1 г.Дзержинска, РБ


^ permalink raw reply	[flat|nested] 10+ messages in thread

end of thread, other threads:[~2011-03-16 20:05 UTC | newest]

Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2011-03-05 11:59 [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/ "А. Куликовский"
2011-03-09 16:47 ` "А. Куликовский"
2011-03-16 10:32 ` "А. Куликовский"
2011-03-16 13:47   ` Anton Farygin
2011-03-16 14:22     ` Michael Shigorin
2011-03-16 16:54       ` "А. Куликовский"
2011-03-16 17:43         ` Mikhail Efremov
2011-03-16 17:54           ` Mikhail Efremov
2011-03-16 18:20             ` Mikhail Efremov
2011-03-16 20:05               ` "А. Куликовский"

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git