| 1.1, edwin (??), 14:36, 10/10/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
На мой взгляд для решения проблемы раздачи подобных прав sudo все же еффективнее.
Хотя сама идея небезинтерестна. | | |
| 1.2, JackSoft (??), 21:22, 10/10/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Плодим дыры в системе... Зачем? Разве удобство (не факт! ИМНО настраивать фоярвол должен кто-то один) стоит безопасности? | | |
| |
| 2.3, uldus (ok), 21:32, 10/10/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Плодим дыры в системе... Зачем? Разве удобство (не факт! ИМНО настраивать фоярвол
>должен кто-то один) стоит безопасности?
Наоборот, решение как раз для повышения безопасности, чтобы не пускать всякие считалки трафика и прочие скрипты из под рута. Обычным юзерам права на девайс не дадут пошалить.
| | |
| |
| 3.8, chip (??), 12:50, 11/10/2005 [^] [^^] [^^^] [ответить]
| +/– |
 >> Наоборот, решение как раз для повышения безопасности, чтобы не пускать всякие считалки трафика и прочие скрипты из под рута.
это зависит от самого приложения. Никто не мешает запуститься от рута и сбросить привилегии.
>> Обычным юзерам права на девайс не дадут пошалить.
Сразу вспоминается истории с /dev/io. | | |
|
| 2.5, butcher (ok), 08:21, 11/10/2005 [^] [^^] [^^^] [ответить]
| +/– |
Во-первых, по-умолчанию эта возможность отключена и включаете её вы на своё усмотрение при помощи перекомпиляции модулей или ядра. В системе, на мой взгляд, есть и более небезопасные опции ядра.
Во-вторых, права доступа распределяете вы, через devfs.conf. Это было сделано в первую очередь для того, чтобы позволить скриптам работать с еньшими правами. Создаёте какого-нибудь пользователя, делаете его владельцем /dev/ipfwctl и даёте ему необходимые права. Если это будут права для чтения, то он сможет только читать состояние файрвола, а это ipfw show + действия для просмотра таблиц (в случае с dummynet - просмотр правил dummynet). Для всего остального нужны права для записи в /dev/ipfwctl. | | |
| |
| 3.9, chip (??), 12:52, 11/10/2005 [^] [^^] [^^^] [ответить]
| +/– | |
>> Создаёте какого-нибудь пользователя, делаете его владельцем /dev/ipfwctl и даёте ему необходимые права.
Полагаю, в данном случае корректнее оперировать правами группы. Пользователь же должен быть всегда == id(0) | | |
| |
| 4.11, butcher (ok), 13:40, 11/10/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Полагаю, в данном случае корректнее оперировать правами группы. Пользователь же должен быть
>всегда == id(0)
зачем? это уже зависит от того какие цели преследуются.
root всегда может воспользоваться обычным методом - RAW Sockets, который обычному пользователю недоступен. К тому же, даже если рут попытается открыть файл, который принадлежит другому пользователю, он его откроет. | | |
| |
| 5.14, chip (ok), 12:07, 12/10/2005 [^] [^^] [^^^] [ответить]
| +/– |
>>Полагаю, в данном случае корректнее оперировать правами группы. Пользователь же должен быть
>>всегда == id(0)
>
>зачем?
Всё достаточно банально. В группу можно включить N пользователей.
>root всегда может воспользоваться обычным методом - RAW Sockets, который обычному пользователю
Это исторически сложившийся подход. Как и использовать /bin/csh в качестве root shell.
| | |
|
|
|
|
| 1.4, _ExN_ (?), 22:08, 10/10/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Кстати о /dev/ipfwctl .. Очень перспективная дея . Например совместимость , допустим зделать единый интерфейс для доступа к базе через dev и будь то pg my или еще че нибудь , можно былобы с любых приложений писать или читать данные . Прмеров много.
Можно былобы зделать специальный dev для каждого пользователя (тоесть доступ к деву тама useradd -d /home/exn -s /bin/bash_2099 -dev /dev/exn ) а тама ядро все права контролировалоб //
ой , понесло меня // короче тема перспективная !!! | | |
| |
| 2.10, chip (??), 12:53, 11/10/2005 [^] [^^] [^^^] [ответить]
| +/– |
>>> Кстати о /dev/ipfwctl .. Очень перспективная дея . Например совместимость , допустим зделать единый интерфейс для доступа к базе через dev и будь то pg my или еще че нибудь , можно былобы с любых приложений писать или читать данные . Прмеров много.
>>> Можно былобы зделать специальный dev для каждого пользователя (тоесть доступ к деву тама useradd -d /home/exn -s /bin/bash_2099 -dev /dev/exn ) а тама ядро все права контролировалоб //
>>> ой , понесло меня // короче тема перспективная !!!
В газенваген с такими идеями. Был уже пример реализации httpd в ядре. Достаточно. //кто не понял Гугль в помощь. | | |
|
| 1.6, Moralez (ok), 09:02, 11/10/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
во фряхе "-s /bin/bash_2099"? Буэээ... в тот же день уйду на другой BSD.... | | |
| |
| 2.7, butcher (ok), 09:41, 11/10/2005 [^] [^^] [^^^] [ответить]
| +/– |
>во фряхе "-s /bin/bash_2099"? Буэээ... в тот же день уйду на другой
>BSD....
:)) | | |
| 2.12, _Nick_ (??), 00:37, 12/10/2005 [^] [^^] [^^^] [ответить]
| +/– |
>во фряхе "-s /bin/bash_2099"? Буэээ... в тот же день уйду на другой
>BSD....
переходи на Gentoo :)))
та же херня, тока с Линуховым ядром! | | |
|
| 1.13, citrin (ok), 11:26, 12/10/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Все равно непонятно в чем принципиальное приемущество перед использованием sudo | | |
|
