* [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/ @ 2011-03-05 11:59 "А. Куликовский" 2011-03-09 16:47 ` "А. Куликовский" 2011-03-16 10:32 ` "А. Куликовский" 0 siblings, 2 replies; 10+ messages in thread From: "А. Куликовский" @ 2011-03-05 11:59 UTC (permalink / raw) To: ALT Linux sysadmin discuss Доброго времени! Установил Школьный Сервер 5.0.2, smbldap-tools, прднял PDC, и всё бы хорошо было, но!... Создаю юзера через альтератор -- на его "домашнем" получаю права доступа 755 :(. То же и через smbldap-useradd. Грешил было на smbldap-tools, но там явно и неявно -- 700. Создаю через useradd -- 700. Но это "не наш метод", этот юзер в tcb-passwd, а не в лдап и оффтопик-домене соответственно. Вспоминаю об пробном тазике (Школьный 5.0.1),там такая же картина -- 755. Переустановил на нем 5.0.2, пока без smbldap-tools и домна -- те же 755. А вот на Школьном Мастере всё в порядке -- 700. Куда смотреть, что делать? -- С уважением, А.Куликовский Гимназия №1, г.Дзержинск, РБ ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/ 2011-03-05 11:59 [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/ "А. Куликовский" @ 2011-03-09 16:47 ` "А. Куликовский" 2011-03-16 10:32 ` "А. Куликовский" 1 sibling, 0 replies; 10+ messages in thread From: "А. Куликовский" @ 2011-03-09 16:47 UTC (permalink / raw) To: ALT Linux sysadmins' discussion 05.03.2011 13:59, "А. Куликовский" пишет: > Доброго времени! > > Установил Школьный Сервер 5.0.2, smbldap-tools, прднял PDC, и всё бы > хорошо было, но!... Создаю юзера через альтератор -- на его "домашнем" > получаю права доступа 755 :(. То же и через smbldap-useradd. Грешил было > на smbldap-tools, но там явно и неявно -- 700. Создаю через useradd -- > 700. Но это "не наш метод", этот юзер в tcb-passwd, а не в лдап и > оффтопик-домене соответственно. > Вспоминаю об пробном тазике (Школьный 5.0.1),там такая же картина -- > 755. Переустановил на нем 5.0.2, пока без smbldap-tools и домна -- те же > 755. > А вот на Школьном Мастере всё в порядке -- 700. > Куда смотреть, что делать? > Не уж-то это только у меня снаряд трижды в одну и ту же воронку падает? -- С уважением, А.Куликовский Гимназия №1 г.Дзержинска, РБ ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/ 2011-03-05 11:59 [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/ "А. Куликовский" 2011-03-09 16:47 ` "А. Куликовский" @ 2011-03-16 10:32 ` "А. Куликовский" 2011-03-16 13:47 ` Anton Farygin 1 sibling, 1 reply; 10+ messages in thread From: "А. Куликовский" @ 2011-03-16 10:32 UTC (permalink / raw) To: ALT Linux sysadmins' discussion 05.03.2011 13:59, "А. Куликовский" пишет: > Доброго времени! > > Установил Школьный Сервер 5.0.2, smbldap-tools, прднял PDC, и всё бы > хорошо было, но!... Создаю юзера через альтератор -- на его "домашнем" > получаю права доступа 755 :(. То же и через smbldap-useradd. Грешил > было на smbldap-tools, но там явно и неявно -- 700. Создаю через > useradd -- 700. Но это "не наш метод", этот юзер в tcb-passwd, а не в > лдап и оффтопик-домене соответственно. > Вспоминаю об пробном тазике (Школьный 5.0.1),там такая же картина -- > 755. Переустановил на нем 5.0.2, пока без smbldap-tools и домна -- те > же 755. > А вот на Школьном Мастере всё в порядке -- 700. > Куда смотреть, что делать? > Доброго времени суток, уважаемые! Следует ли понимать, что молчание общественности вокруг того факта, что в свежеустановленном ALT Linux School Server 5.0 на домашние каталоги создаваемых пользователей устанавливаются права доступа 755, то есть любой пользователь может просматривать и читать файлы любого другого пользователя -- в отличии от ALT Linux School Server 4 или ALT Linux School Master 5.0, где права на каталоги 700 -- является подтверждением нормальности такого положения вещей для _школьного сервера_ (хотя и школьного, но всё-таки сервера)? Благодарю за ответы! -- С уважением, А.Куликовский Гимназия №1, г.Дзержинск, РБ ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/ 2011-03-16 10:32 ` "А. Куликовский" @ 2011-03-16 13:47 ` Anton Farygin 2011-03-16 14:22 ` Michael Shigorin 0 siblings, 1 reply; 10+ messages in thread From: Anton Farygin @ 2011-03-16 13:47 UTC (permalink / raw) To: sysadmins 16.03.2011 13:32, "А. Куликовский" пишет: > 05.03.2011 13:59, "А. Куликовский" пишет: >> Доброго времени! >> >> Установил Школьный Сервер 5.0.2, smbldap-tools, прднял PDC, и всё бы >> хорошо было, но!... Создаю юзера через альтератор -- на его "домашнем" >> получаю права доступа 755 :(. То же и через smbldap-useradd. Грешил >> было на smbldap-tools, но там явно и неявно -- 700. Создаю через >> useradd -- 700. Но это "не наш метод", этот юзер в tcb-passwd, а не в >> лдап и оффтопик-домене соответственно. >> Вспоминаю об пробном тазике (Школьный 5.0.1),там такая же картина -- >> 755. Переустановил на нем 5.0.2, пока без smbldap-tools и домна -- те >> же 755. >> А вот на Школьном Мастере всё в порядке -- 700. >> Куда смотреть, что делать? >> > Доброго времени суток, уважаемые! > > Следует ли понимать, что молчание общественности вокруг того факта, что > в свежеустановленном ALT Linux School Server 5.0 на домашние каталоги > создаваемых пользователей устанавливаются права доступа 755, то есть > любой пользователь может просматривать и читать файлы любого другого > пользователя -- в отличии от ALT Linux School Server 4 или ALT Linux > School Master 5.0, где права на каталоги 700 -- является подтверждением > нормальности такого положения вещей для _школьного сервера_ (хотя и > школьного, но всё-таки сервера)? > Благодарю за ответы! скорее у вас не совсем корректное место для вопроса. если у вас продукт официальный, с купончиком на тех. поддержку - обратитесь туда, А если нет, то лучше с такими вопросами на форум - пользователи школьного дистрибутива в основном на форуме общаются, видимо ответа на ваш вопрос в этой рассылки никто не знает, потому что не пользуется вышеназванным продуктом. ну, или в bugzilla, если есть возможность воспроизводить ошибку. ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/ 2011-03-16 13:47 ` Anton Farygin @ 2011-03-16 14:22 ` Michael Shigorin 2011-03-16 16:54 ` "А. Куликовский" 0 siblings, 1 reply; 10+ messages in thread From: Michael Shigorin @ 2011-03-16 14:22 UTC (permalink / raw) To: sysadmins On Wed, Mar 16, 2011 at 04:47:32PM +0300, Anton Farygin wrote: > >>Вспоминаю об пробном тазике (Школьный 5.0.1),там такая же > >>картина -- 755. Переустановил на нем 5.0.2, пока без > >>smbldap-tools и домна -- те же 755. А вот на Школьном > >>Мастере всё в порядке -- 700. Куда смотреть, что делать? > >Следует ли понимать, что молчание общественности вокруг того > >факта, что в свежеустановленном ALT Linux School Server 5.0 на > >домашние каталоги создаваемых пользователей устанавливаются > >права доступа 755, то есть любой пользователь может > >просматривать и читать файлы любого другого пользователя -- Нет, конечно. Возможность доступа по чтению к файлам регулируется правами на эти файлы. При этом ~, ~/Documents и ~/tmp "из коробки" имеют права 0700 в качестве меры _дополнительного_ ограждения. > >в отличии от ALT Linux School Server 4 или ALT Linux School > >Master 5.0, где права на каталоги 700 -- является > >подтверждением нормальности такого положения вещей для > >_школьного сервера_ (хотя и школьного, но всё-таки сервера)? Думаю, да. Не смотрел, но выглядит явно как специально оформленная фича. См. тж. /etc/login.defs > скорее у вас не совсем корректное место для вопроса. Ну почему же -- для этого вопроса примерно как и community@. > ну, или в bugzilla, если есть возможность воспроизводить ошибку. Это не ошибка, а вопрос культуры -- как на местах, так и в дистрибутиве. Как и "всех в группу users" или "per-user groups". То есть ни 700, ни 711, ни 751 или 755 нельзя считать ошибкой в отрыве от контекста: где-то принято сказать "посмотри мой ~/.screenrc", а где-то для разделяемого барахлишка делается разделяемый каталог в явном виде. Также не забываем про ~/public_html (хотя для этого как раз достаточно 711). Мне лично кажется, что для школьного сервера это как раз более удачный дефолт, чем 700. Если в конкретном месте это не так -- перенастройте. Если же во многих местах окажется нужным перенастроить -- вот тогда имеет смысл поднимать вопрос об изменении этого дефолта для этого дистрибутива. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/ 2011-03-16 14:22 ` Michael Shigorin @ 2011-03-16 16:54 ` "А. Куликовский" 2011-03-16 17:43 ` Mikhail Efremov 0 siblings, 1 reply; 10+ messages in thread From: "А. Куликовский" @ 2011-03-16 16:54 UTC (permalink / raw) To: shigorin, ALT Linux sysadmins' discussion 16.03.2011 16:22, Michael Shigorin пишет: > On Wed, Mar 16, 2011 at 04:47:32PM +0300, Anton Farygin wrote: >>>> Вспоминаю об пробном тазике (Школьный 5.0.1),там такая же >>>> картина -- 755. Переустановил на нем 5.0.2, пока без >>>> smbldap-tools и домна -- те же 755. А вот на Школьном >>>> Мастере всё в порядке -- 700. Куда смотреть, что делать? >>> Следует ли понимать, что молчание общественности вокруг того >>> факта, что в свежеустановленном ALT Linux School Server 5.0 на >>> домашние каталоги создаваемых пользователей устанавливаются >>> права доступа 755, то есть любой пользователь может >>> просматривать и читать файлы любого другого пользователя -- > > Нет, конечно. Возможность доступа по чтению к файлам > регулируется правами на эти файлы. При этом ~, ~/Documents > и ~/tmp "из коробки" имеют права 0700 в качестве меры > _дополнительного_ ограждения. _Все_ каталоги внутри ~ тоже 755, файлы -- 640 >>> в отличии от ALT Linux School Server 4 или ALT Linux School >>> Master 5.0, где права на каталоги 700 -- является >>> подтверждением нормальности такого положения вещей для >>> _школьного сервера_ (хотя и школьного, но всё-таки сервера)? > > Думаю, да. Не смотрел, но выглядит явно как специально > оформленная фича. См. тж. /etc/login.defs там вот так: # The umask to use when creating user home directories. The default # is 077. # #UMASK 77 т.е. как будто дефолтно 700, или как? > >> ну, или в bugzilla, если есть возможность воспроизводить ошибку. Еще как воспроизводится! По совету более опытных товарищей -- #25244 > Это не ошибка, а вопрос культуры -- как на местах, так и в > дистрибутиве. Как и "всех в группу users" или "per-user groups". > > То есть ни 700, ни 711, ни 751 или 755 нельзя считать ошибкой > в отрыве от контекста: где-то принято сказать "посмотри мой > ~/.screenrc", а где-то для разделяемого барахлишка делается > разделяемый каталог в явном виде. Также не забываем про > ~/public_html (хотя для этого как раз достаточно 711). Вот я тоже за "разделяемый каталог в явном виде" !! А поскольку у нас всё окружение - оффтопик, то и не один расшаренный по самбе. > Мне лично кажется, что для школьного сервера это как раз более > удачный дефолт, чем 700. Ну, если дать особо одаренным юным кулхацкерам лазейку подсмотреть тексты будущей контрольной, то таки да! Оно мне надо?? :)))) > Если в конкретном месте это не так -- > перенастройте. Если бы смог найти, где и что изменить, то и не отнимал бы время попусту, но увы... А так... поставил костыль, по крону проверяет новых юзеров, правит... Но это ведь "не наш метод"! А сервер надо "ещё вчера" отдавать коллегам... > Если же во многих местах окажется нужным > перенастроить -- вот тогда имеет смысл поднимать вопрос > об изменении этого дефолта для этого дистрибутива. > -- С уважением, А.Куликовский Гимназия №1 г.Дзержинска, РБ ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/ 2011-03-16 16:54 ` "А. Куликовский" @ 2011-03-16 17:43 ` Mikhail Efremov 2011-03-16 17:54 ` Mikhail Efremov 0 siblings, 1 reply; 10+ messages in thread From: Mikhail Efremov @ 2011-03-16 17:43 UTC (permalink / raw) To: sysadmins On Wed, 16 Mar 2011 18:54:14 +0200 А. Куликовский wrote: > > Если в конкретном месте это не так -- > > перенастройте. > Если бы смог найти, где и что изменить, то и не отнимал бы время > попусту, но увы... А так... поставил костыль, по крону проверяет новых > юзеров, правит... Но это ведь "не наш метод"! А сервер надо "ещё вчера" > отдавать коллегам... Добавьте umask=077 для pam_mkhomedir.so в /etc/pam.d/system-auth. -- WBR, Mikhail Efremov ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/ 2011-03-16 17:43 ` Mikhail Efremov @ 2011-03-16 17:54 ` Mikhail Efremov 2011-03-16 18:20 ` Mikhail Efremov 0 siblings, 1 reply; 10+ messages in thread From: Mikhail Efremov @ 2011-03-16 17:54 UTC (permalink / raw) To: sysadmins On Wed, 16 Mar 2011 20:43:27 +0300 Mikhail Efremov wrote: > On Wed, 16 Mar 2011 18:54:14 +0200 А. Куликовский wrote: > > > Если в конкретном месте это не так -- > > > перенастройте. > > Если бы смог найти, где и что изменить, то и не отнимал бы время > > попусту, но увы... А так... поставил костыль, по крону проверяет новых > > юзеров, правит... Но это ведь "не наш метод"! А сервер надо "ещё вчера" > > отдавать коллегам... > > Добавьте umask=077 для pam_mkhomedir.so в /etc/pam.d/system-auth. Хотя нет, тогда и все файлы в каталоге тоже с этим umask создаются. -- WBR, Mikhail Efremov ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/ 2011-03-16 17:54 ` Mikhail Efremov @ 2011-03-16 18:20 ` Mikhail Efremov 2011-03-16 20:05 ` "А. Куликовский" 0 siblings, 1 reply; 10+ messages in thread From: Mikhail Efremov @ 2011-03-16 18:20 UTC (permalink / raw) To: sysadmins On Wed, 16 Mar 2011 20:54:19 +0300 Mikhail Efremov wrote: > On Wed, 16 Mar 2011 20:43:27 +0300 Mikhail Efremov wrote: > > On Wed, 16 Mar 2011 18:54:14 +0200 А. Куликовский wrote: > > > > Если в конкретном месте это не так -- > > > > перенастройте. > > > Если бы смог найти, где и что изменить, то и не отнимал бы время > > > попусту, но увы... А так... поставил костыль, по крону проверяет новых > > > юзеров, правит... Но это ведь "не наш метод"! А сервер надо "ещё вчера" > > > отдавать коллегам... > > > > Добавьте umask=077 для pam_mkhomedir.so в /etc/pam.d/system-auth. > > Хотя нет, тогда и все файлы в каталоге тоже с этим umask создаются. ... но ничего плохого в этом нет :). Собственно useradd поступает так же. Это я о чем-то не о том подумал, видимо. -- WBR, Mikhail Efremov ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/ 2011-03-16 18:20 ` Mikhail Efremov @ 2011-03-16 20:05 ` "А. Куликовский" 0 siblings, 0 replies; 10+ messages in thread From: "А. Куликовский" @ 2011-03-16 20:05 UTC (permalink / raw) To: ALT Linux sysadmins' discussion 16.03.2011 20:20, Mikhail Efremov пишет: > On Wed, 16 Mar 2011 20:54:19 +0300 Mikhail Efremov wrote: >> On Wed, 16 Mar 2011 20:43:27 +0300 Mikhail Efremov wrote: >>> On Wed, 16 Mar 2011 18:54:14 +0200 А. Куликовский wrote: >>>>> Если в конкретном месте это не так -- >>>>> перенастройте. >>>> Если бы смог найти, где и что изменить, то и не отнимал бы время >>>> попусту, но увы... А так... поставил костыль, по крону проверяет новых >>>> юзеров, правит... Но это ведь "не наш метод"! А сервер надо "ещё вчера" >>>> отдавать коллегам... >>> >>> Добавьте umask=077 для pam_mkhomedir.so в /etc/pam.d/system-auth. >> >> Хотя нет, тогда и все файлы в каталоге тоже с этим umask создаются. > > ... но ничего плохого в этом нет :). Собственно useradd поступает так > же. Это я о чем-то не о том подумал, видимо. > Спасибо, оно самое! Каталоги -- 700, файлы -- 600. Ну а что до public_html, так это можно и ручками. ЗЫ: Да, уж, фри-софтварьная мысль идет вперед семимильными шагами, не уследит и не догнать... :) -- С уважением, А.Куликовский Гимназия №1 г.Дзержинска, РБ ^ permalink raw reply [flat|nested] 10+ messages in thread
end of thread, other threads:[~2011-03-16 20:05 UTC | newest] Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2011-03-05 11:59 [Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/ "А. Куликовский" 2011-03-09 16:47 ` "А. Куликовский" 2011-03-16 10:32 ` "А. Куликовский" 2011-03-16 13:47 ` Anton Farygin 2011-03-16 14:22 ` Michael Shigorin 2011-03-16 16:54 ` "А. Куликовский" 2011-03-16 17:43 ` Mikhail Efremov 2011-03-16 17:54 ` Mikhail Efremov 2011-03-16 18:20 ` Mikhail Efremov 2011-03-16 20:05 ` "А. Куликовский"
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git