From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <kae@tut.by>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-0.8 required=5.0 tests=AWL,BAYES_00,
	DNS_FROM_OPENWHOIS,RDNS_DYNAMIC,SPF_FAIL autolearn=no version=3.2.5
X-Virus-Scanned: amavisd-new at localhost
Message-ID: <4D80EB36.2000802@tut.by>
Date: Wed, 16 Mar 2011 18:54:14 +0200
From: =?UTF-8?B?ItCQLiDQmtGD0LvQuNC60L7QstGB0LrQuNC5Ig==?= <kae@tut.by>
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US;
	rv:1.9.2.14pre) Gecko/20110125 Thunderbird/3.1.8pre
MIME-Version: 1.0
To: shigorin@gmail.com, 
	ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
References: <4D7225AA.4030606@tut.by>
	<4D8091CF.6010401@tut.by>	<4D80BF74.9020304@altlinux.com>
	<20110316142211.GK23858@osdn.org.ua>
In-Reply-To: <20110316142211.GK23858@osdn.org.ua>
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
Subject: Re: [Sysadmins] =?utf-8?b?QUxUIDUg0KjQutC+0LvRjNC90YvQuSDQodC10YA=?=
 =?utf-8?b?0LLQtdGAINC4INC/0YDQsNCy0LAg0LTQvtGB0YLRg9C/0LAg0L3QsCAvaG9t?=
 =?utf-8?q?e/?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmins' discussion <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 16 Mar 2011 16:54:27 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/4D80EB36.2000802@tut.by/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

16.03.2011 16:22, Michael Shigorin пишет:
> On Wed, Mar 16, 2011 at 04:47:32PM +0300, Anton Farygin wrote:
>>>> Вспоминаю об пробном тазике (Школьный 5.0.1),там такая же
>>>> картина -- 755. Переустановил на нем 5.0.2, пока без
>>>> smbldap-tools и домна -- те же 755.  А вот на Школьном
>>>> Мастере всё в порядке -- 700.  Куда смотреть, что делать?
>>> Следует ли понимать, что молчание общественности вокруг того
>>> факта, что в свежеустановленном ALT Linux School Server 5.0 на
>>> домашние каталоги создаваемых пользователей устанавливаются
>>> права доступа 755, то есть любой пользователь может
>>> просматривать и читать файлы любого другого пользователя --
> 
> Нет, конечно.  Возможность доступа по чтению к файлам
> регулируется правами на эти файлы.  При этом ~, ~/Documents
> и ~/tmp "из коробки" имеют права 0700 в качестве меры
> _дополнительного_ ограждения.
_Все_ каталоги внутри ~ тоже 755,   файлы -- 640

>>> в отличии от ALT Linux School Server 4 или ALT Linux School
>>> Master 5.0, где права на каталоги 700 -- является
>>> подтверждением нормальности такого положения вещей для
>>> _школьного сервера_ (хотя и школьного, но всё-таки сервера)?
> 
> Думаю, да.  Не смотрел, но выглядит явно как специально
> оформленная фича.  См. тж. /etc/login.defs
там вот так:
# The umask to use when creating user home directories.  The default
# is 077.
#
#UMASK			77
т.е. как будто дефолтно  700, или как?

> 
>> ну, или в bugzilla, если есть возможность воспроизводить ошибку.
Еще как воспроизводится!
По совету более опытных товарищей -- #25244

> Это не ошибка, а вопрос культуры -- как на местах, так и в
> дистрибутиве.  Как и "всех в группу users" или "per-user groups".
> 
> То есть ни 700, ни 711, ни 751 или 755 нельзя считать ошибкой
> в отрыве от контекста: где-то принято сказать "посмотри мой
> ~/.screenrc", а где-то для разделяемого барахлишка делается
> разделяемый каталог в явном виде.  Также не забываем про
> ~/public_html (хотя для этого как раз достаточно 711).
Вот я тоже за "разделяемый каталог в явном виде" !!
А поскольку у нас всё окружение - оффтопик, то и не один расшаренный по
самбе.

> Мне лично кажется, что для школьного сервера это как раз более
> удачный дефолт, чем 700.  
Ну, если дать особо одаренным юным кулхацкерам лазейку подсмотреть
тексты будущей контрольной, то таки да!  Оно мне надо??   :))))

> Если в конкретном месте это не так --
> перенастройте.  
Если бы смог найти, где и что изменить, то и не отнимал бы время
попусту, но увы... А так... поставил костыль, по крону проверяет новых
юзеров, правит... Но это ведь "не наш метод"! А сервер надо "ещё вчера"
отдавать коллегам...

> Если же во многих местах окажется нужным
> перенастроить -- вот тогда имеет смысл поднимать вопрос
> об изменении этого дефолта для этого дистрибутива.
> 


-- 
С уважением, А.Куликовский
Гимназия №1 г.Дзержинска, РБ