forum.opennet.ru

Составление сообщения

Исходное сообщение

"необходимый минимум привилегий (и сложности)"
Отправлено Michael Shigorin, 08-Окт-07 10:54

>> Да, неограниченный root, suid/sgid и /tmp -- три больных места UNIX.
>общий каталог /tmp сейчас защищается с помощью sticky bit. этого разве не
>достаточно? если бы там были действительно серьезные проблемы из-за общего /tmp,
>в большинстве дистрибутивов уже давным давно бы реализовали отдельные /tmp для
>каждого пользователя.
Дело не только в том, что общий, а и в том, что known world writable.
>> в post-UNIX под названием Linux
>для того, чтобы ядро Linux могло называться "post-UNIX"
>1) в нем должны быть реализованы все возможности UNIX. ( POSIX, etc
>)
>2) должны быть какие-то уникальные особенности, которые позволяют выделить
>ядро Linux в отдельный подкласс внутри класса UNIX-like операционных систем.
>первое - скорее всего да. второе - нет. не вижу никаких уникальных
>особенностей.
Технически -- та же виртуализация как "мерж" майнфреймовых фич.  Про Solaris Zones знаю, и мне кажется, что OpenSolaris -- второй кандидат на ту же бирку.  Особенно если и с процессом разберутся.
>при класификации принимается во внимание сам результат, а не способ его достижения.
Под UNIX я имел в виду в т.ч. субкультуру.  Под Linux -- тоже, включая и способы.
>факт в том, что архитекторы WinNT изначально отказались от SUID/SGID при разработке
>WinNT, учитывая опыт использования и проблемы, какие были с этой фичей в
>системах UNIX.
Ещё один факт -- что теперь к эквиваленту вернулись.
[знаю]
>> Простые вещи должны и делаться просто.
>...а сложные вещи должны быть доступны?
>только вот сейчас Perl5 везде постепенно уступает свое место Python`у.
Ну так вот сходу не наблюдаю, скорее нового больше делается на питоне.  Это чуть другой тип замещения.
>если действительно нужно обеспечить высокий уровень безопасности - пользуются SELinux.
Зависит.
>>http://wiki.sisyphus.ru/devel/control
>su - это сокращение от "swith user" а не "superuser".
Хех.  Если Вы про описание
  wheel: Any user can execute /bin/su, but only "wheel" group members can switch to superuser
-- то там всё именно так и задумано/работает, как описано:
user1$ groups | grep -q wheel && echo wheel
wheel
user1$ /usr/sbin/control su
wheelonly
user1$ su -
Password:
root#
user2$ groups | grep -q wheel && echo wheel
user2$
user2$ su -
Password:
su: Permission denied
user2$ _

Исходное сообщение
"необходимый минимум привилегий (и сложности)" Отправлено Michael Shigorin, 08-Окт-07 10:54
>> Да, неограниченный root, suid/sgid и /tmp -- три больных места UNIX. >общий каталог /tmp сейчас защищается с помощью sticky bit. этого разве не >достаточно? если бы там были действительно серьезные проблемы из-за общего /tmp, >в большинстве дистрибутивов уже давным давно бы реализовали отдельные /tmp для >каждого пользователя. Дело не только в том, что общий, а и в том, что known world writable. >> в post-UNIX под названием Linux >для того, чтобы ядро Linux могло называться "post-UNIX" >1) в нем должны быть реализованы все возможности UNIX. ( POSIX, etc >) >2) должны быть какие-то уникальные особенности, которые позволяют выделить >ядро Linux в отдельный подкласс внутри класса UNIX-like операционных систем. >первое - скорее всего да. второе - нет. не вижу никаких уникальных >особенностей. Технически -- та же виртуализация как "мерж" майнфреймовых фич. Про Solaris Zones знаю, и мне кажется, что OpenSolaris -- второй кандидат на ту же бирку. Особенно если и с процессом разберутся. >при класификации принимается во внимание сам результат, а не способ его достижения. Под UNIX я имел в виду в т.ч. субкультуру. Под Linux -- тоже, включая и способы. >факт в том, что архитекторы WinNT изначально отказались от SUID/SGID при разработке >WinNT, учитывая опыт использования и проблемы, какие были с этой фичей в >системах UNIX. Ещё один факт -- что теперь к эквиваленту вернулись. [знаю] >> Простые вещи должны и делаться просто. >...а сложные вещи должны быть доступны? >только вот сейчас Perl5 везде постепенно уступает свое место Python`у. Ну так вот сходу не наблюдаю, скорее нового больше делается на питоне. Это чуть другой тип замещения. >если действительно нужно обеспечить высокий уровень безопасности - пользуются SELinux. Зависит. >>http://wiki.sisyphus.ru/devel/control >su - это сокращение от "swith user" а не "superuser". Хех. Если Вы про описание wheel: Any user can execute /bin/su, but only "wheel" group members can switch to superuser -- то там всё именно так и задумано/работает, как описано: user1$ groups \| grep -q wheel && echo wheel wheel user1$ /usr/sbin/control su wheelonly user1$ su - Password: root# user2$ groups \| grep -q wheel && echo wheel user2$ user2$ su - Password: su: Permission denied user2$ _

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру