|
Внедрение Linux в школы. За и против.
|
|
|
AYuD | Дата: Четверг, 26.05.2011, 15:06 | Сообщение # 691 |
AYuD
Ранг: Магистр (?)
Группа: Пользователи
Должность: информатика, математика
|
| Сообщений: |
352 |
| Награды: |
4 |
| Статус: |
Offline |
|
Sudoers Manual (http://www.gratisoft.us/sudo/man/1.8.1/sudoers.man.html):
"PREVENTING SHELL ESCAPES
Once sudo executes a program, that program is free to do whatever it pleases, including run other programs. ".
Го есть, да, действительно.
Но, оказывается кое-что можно сделать:
"There are two basic approaches to this problem:
--restrict
Avoid giving users access to commands that allow the user to run arbitrary commands...
--noexec
Many systems that support shared ... On such systems, sudo's noexec functionality can be used to prevent a program run by sudo from executing any other programs.".
Ну вот, всё как всегда, надо всего лишь учить материальную часть.
А вот теперь представим себе учителя, которому это надо настроить...
26.05.2011
|
|
|
|
| |
|
|
chernysh8 | Дата: Четверг, 26.05.2011, 15:59 | Сообщение # 692 |
| Сообщений: |
1503 |
| Награды: |
21 |
| Статус: |
Offline |
|
Особенно учителя, который английского языка не знает.
А учить английский, чтобы эту галиматью читать, нет ни времени, ни денег. Да и желания -тоже, так как больше причин нет.
Проще купить Винду и не заморачиваться.
26.05.2011
|
|
|
|
| |
|
|
astronom | Дата: Четверг, 26.05.2011, 20:42 | Сообщение # 693 |
astronom
Ранг: Магистр (?)
Группа: Пользователи
|
| Сообщений: |
562 |
| Награды: |
7 |
| Статус: |
Offline |
|
Quote (alex_edu) Это тут точно не при чем. Смысл компиляции из исходников если вы хотите выжать все из своей системы. Т.е. что то конфигурируете, лишнее не прилинковываете и т.п.
вообще-то, бинарные пакеты задуманы как средство упростить пользователю процесс установки/обновления программ, а не просто в качестве еще одного способа затормозить систему.
Если этот процесс сопровождается тем, что пользователю приходится решать какие-то проблемы, которые не смогли предусмотреть создатели установщика или сценария установки, то нафиг такое облегчение.
Quote (alex_edu) А какой в этом смысл? Чтобы потом опять и опять заходить через судо.
да.
Вы понимаете, зачем вообще создали sudo?
Quote (alex_edu) Это совсем не логично.
почему?
Quote (alex_edu) Одна тонкость. aptitude не занимается защитой системы, она не занимается ни пользователями ни правами. Все, что она знает - ее запустил пользователь... root.
что-то мешает проверить реальный идентификатор пользователя?
login тоже не занимается защитой, однако, если она при неправильной аутентификации начнет предлагать залогиниться под root, на нее начнут смотреть очень косо.
p.s. а, sudo заменяет оба идентификатора. Отбой с данным вопросом.
Quote (alex_edu) Что значит на юзера свалили?
прямо это и значит: юзеру прямо сказали "Сделай что-нибудь с конфигом, юзер". Если это не сваливание проблем на юзера, то я не знаю.
Quote (alex_edu) Давайте четко определимся мы либо доверяем пользователю обновлять систему, устанавливать/удалять пакеты либо нет. При этом ему нужен доступ абсолютно ко всем конфигам. Т.е. разрешая пользователю, что либо запускать через sudo. Мы решаем, что мы ему доверяем. Нет ни какого смысла ограничивать поьзователя который имеет возможность обновить систему, грохнуть систему, перенастроить систему, поставить руткит, и кучу всякой заразы. Вот ALL в sudoers - плохо, разрешение запускать sudo без пароля - это вообще открытая дверь.......
Давайте четко определимся: sudo позволяет разграничивать пользователей на тех, кто может запускать конкретные программы и на тех, кто этого не может делать. Если мы предоставляем юзеру возможность обновлять систему, это вовсе не означает, что мы разрешаем ему все то, что может делать root.
Собственно, ничто не мешает создать пользователя, которому будет разрешено только обновление системы и шаманство с нужными ему папками, но, например, запускать X он не сможет. Это обычное разделение администраторов.
Quote (alex_edu) Но, пользователь берет и направляет менежер пакетов на свой репозиторий
так, навскидку ... 400 для sources.list и не разрешаем юзеру использовать echo, vi, joe, less и т.п? Плюс, если ФС из семейства ext, ставим пару битов, чтобы этот файл нельзя было модифицировать или удалить.
26.05.2011
Сообщение отредактировал astronom - Четверг, 26.05.2011, 20:47
|
|
|
|
| |
|
|
alsergast | Дата: Четверг, 26.05.2011, 22:26 | Сообщение # 694 |
alsergast
Ранг: Профессор (?)
Группа: Пользователи
|
| Сообщений: |
4335 |
| Награды: |
58 |
| Статус: |
Offline |
|
Так, недавно ещё одна зависаемость ОО проявилась. При просмотре презентаций МО с множественной анимацией завис даже комп с гиговой оперативкой. Чуть послабее оказал действие запуск экселевского теста с интерактивом. Вот такие пироги...
Хотя всякие интернет-базы типа КПМО и т.п. лучше идут из-под Линукса - заполнение идёт в разы быстрее.
26.05.2011
|
|
|
|
| |
|
|
alex_edu | Дата: Пятница, 27.05.2011, 00:08 | Сообщение # 695 |
alex_edu
Ранг: Магистр (?)
Группа: Пользователи
|
| Сообщений: |
607 |
| Награды: |
7 |
| Статус: |
Offline |
|
Quote (astronom)
вообще-то, бинарные пакеты задуманы как средство упростить пользователю процесс установки/обновления программ, а не просто в качестве еще одного способа затормозить систему.
А где и кто сказал про затормозить систему? 
Quote (astronom)
Если этот процесс сопровождается тем, что пользователю приходится решать какие-то проблемы, которые не смогли предусмотреть создатели установщика или сценария установки, то нафиг такое облегчение.
Стоп. Вы о чем? Посмотрите внимательно на исходную "проблему". У нас аптитюд заявил о том, что надо наложить новый конфиг. Вы можете предложить автоматический метод?
Всегда заменять? Это плохо - возможно админ, что то очень тонко настроил, а мы этим убъем все его старания....
Всегда оставлять существующий? Хм. А смысл может мы его не редактировали? А в итоге у в нем не будет полной информации о возможных настройках..
Проверять меняли не меняли? Во первых по хорошему мы должны сравнить тогда с эталонным старым, а потом, например, добавить только новые. А вдргу эта та амая тонкая настройка в сочетании с новой по дефолту отправит в тартарары наш сервис (естественно это граничный случай, но теоритически он вполне может быть).
Quote (astronom)
прямо это и значит: юзеру прямо сказали "Сделай что-нибудь с конфигом, юзер". Если это не сваливание проблем на юзера, то я не знаю.
Вот именно по этому обновление системы это задача для администратора, а не для пользователя. Поймите это не проблема ОС, линукса или конкретного пакета, это обеспечение сохранности и надежности вашей системы.
У вас просто спросили "надо менять конфиг на новый.
Заменить? Это вы (точнее админ) должен выбрать если он этот конфиг не менял
ставить прежний? Это вы (точнее админ) должен выбрать если он уверен, что в новом конфиге нет ни чего плохого для его тонкой настройки.
Дать шел. Тут админ принял решение, что ему нужны и новые настройки и старые сохранить, а может и что то поправить. А представьте этот ваш юзер обновил, сказал "нафиг мне это надо - ваши проблемы".. Все врроде работает, но что то где то то подтормаживает то еще что то... И админ начинает судорожно искать...... И при этом он и не занет, что какойто там сервис обновился, и конфиг перезаписалься.....
Quote (astronom)
Давайте четко определимся: sudo позволяет разграничивать пользователей на тех, кто может запускать конкретные программы и на тех, кто этого не может делать. Если мы предоставляем юзеру возможность обновлять систему, это вовсе не означает, что мы разрешаем ему все то, что может делать root.
Нет. Обновление система это задача для рута. Это серьезно.....
Quote (astronom)
так, навскидку ... 400 для sources.list и не разрешаем юзеру использовать echo, vi, joe, less и т.п? Плюс, если ФС из семейства ext, ставим пару битов, чтобы этот файл нельзя было модифицировать или удалить.
На вскидку это также спокойно обходится. В качестве одного из источников может быть cdrom. Ну, а диск мы моем любой подсунуть 
Если сетевые: берем сетевой кабель идущий от этого компа втыкаем в совй ноутбук. На котром стоит свой dns сервер. Который направляет на подставной сервер на том же самом ноутбуке.
В прочем тут есть загвоздка с ключами. Но ведь мы можем зарегистрировать свой ключ.......
Нет, наверно закрутить гайки можно, только, на мой взгляд, лучше разобраться кому можно разрешать, обновлять систему а кому нет....Добавлено (27.05.2011, 00:08)
---------------------------------------------
Quote (MACTEP1) Так, недавно ещё одна зависаемость ОО проявилась.
А какая версия ОО?
27.05.2011
|
|
|
|
| |
|
|
alsergast | Дата: Пятница, 27.05.2011, 07:03 | Сообщение # 696 |
alsergast
Ранг: Профессор (?)
Группа: Пользователи
|
| Сообщений: |
4335 |
| Награды: |
58 |
| Статус: |
Offline |
|
Quote (alex_edu) А какая версия ОО?
ОО -3.2, ЛО - 3.3
27.05.2011
|
|
|
|
| |
|
|
alex_edu | Дата: Пятница, 27.05.2011, 09:32 | Сообщение # 697 |
alex_edu
Ранг: Магистр (?)
Группа: Пользователи
|
| Сообщений: |
607 |
| Награды: |
7 |
| Статус: |
Offline |
|
Я пользуюсь сборкой от ИнфраРесурса. i-rs.ru Они подпиливают под Россию офис. Можно попробовать.
Хотя, с другой стороны, все микрософтовские форматы по сути закрытые. Возможно и не получится его открыть в 100% случаев.
27.05.2011
|
|
|
|
| |
|
|
astronom | Дата: Пятница, 27.05.2011, 14:12 | Сообщение # 698 |
astronom
Ранг: Магистр (?)
Группа: Пользователи
|
| Сообщений: |
562 |
| Награды: |
7 |
| Статус: |
Offline |
|
Quote (alex_edu) А где и кто сказал про затормозить систему?
Quote (alex_edu) Смысл компиляции из исходников если вы хотите выжать все из своей системы. Т.е. что то конфигурируете, лишнее не прилинковываете и т.п.
Quote (alex_edu) Посмотрите внимательно на исходную "проблему". У нас аптитюд заявил о том, что надо наложить новый конфиг. Вы можете предложить автоматический метод?
Всегда заменять? Это плохо - возможно админ, что то очень тонко настроил, а мы этим убъем все его старания....
Всегда оставлять существующий? Хм. А смысл может мы его не редактировали? А в итоге у в нем не будет полной информации о возможных настройках..
Проверять меняли не меняли? Во первых по хорошему мы должны сравнить тогда с эталонным старым, а потом, например, добавить только новые. А вдргу эта та амая тонкая настройка в сочетании с новой по дефолту отправит в тартарары наш сервис (естественно это граничный случай, но теоритически он вполне может быть).
Вы когда-нибудь FreeBSD обновляли? Вот там в такой ситуации просто запускается diff, который выводит все различия между новым и старым конфигом, а потом запускается текстовый редактор, в котором можно эти различия устранить. Все происходит без root shell
Ставим мускуль, запрашивается пароль рута СУБД, в графике. Тоже без root shell
Ставим какой-нибуь ftp-сервер, запрашивается вариант запуска через init или самостоятельно. Тоже без той самой рут шел.
Quote (alex_edu) Вот именно по этому обновление системы это задача для администратора, а не для пользователя. Поймите это не проблема ОС, линукса или конкретного пакета, это обеспечение сохранности и надежности вашей системы.
если пользователь знает только свой пароль и получает консоль рута после манипуляций с программами, такое называют брешью.
Иначе, так можно и telnet и rdp оправдать.
Добавлено (27.05.2011, 14:08)
---------------------------------------------
Quote (alex_edu) Заменить? Это вы (точнее админ) должен выбрать если он этот конфиг не менял
ставить прежний? Это вы (точнее админ) должен выбрать если он уверен, что в новом конфиге нет ни чего плохого для его тонкой настройки.
еще раз: sudo создана для разделения пользователей, в том числе и админов.
Этих админов может быть несколько и у них может быть иерархия уровней доступа.
И да, админ может отвечать за апач и править конфиги апача, патчить его исходники и компилировать новые версии, но доступа к бд у него не будет, т.к., за бд отвечает другой админ.
А пароль root известен только главному админу, который тихо попивает кофе дома и строчит в хабр.
Добавлено (27.05.2011, 14:12)
---------------------------------------------
Quote (alex_edu) Дать шел.
Зачем? Зачем для правки конфига нужен шел?
Запустите текстовый редактор, запустите какой-нибудь самописный конфигуратор.
Quote Ну, а диск мы моем любой подсунуть
Если сетевые: берем сетевой кабель идущий от этого компа втыкаем в совй ноутбук. На котром стоит свой dns сервер. Который направляет на подставной сервер на том же самом ноутбуке.
ну, если такая вводная, что есть физический доступ к серверу, то да, любая защита бесполезна. Т.к., всегда можно выдернуть/перерезать/перегрызть/сжечь провода. 
27.05.2011
Сообщение отредактировал astronom - Пятница, 27.05.2011, 14:15
|
|
|
|
| |
|
|
alex_edu | Дата: Пятница, 27.05.2011, 15:39 | Сообщение # 699 |
alex_edu
Ранг: Магистр (?)
Группа: Пользователи
|
| Сообщений: |
607 |
| Награды: |
7 |
| Статус: |
Offline |
|
Quote (astronom) Вы когда-нибудь FreeBSD обновляли? Вот там в такой ситуации просто запускается diff, который выводит все различия между новым и старым конфигом, а потом запускается текстовый редактор, в котором можно эти различия устранить. Все происходит без root shell
Текстовый редактор не vi случаем?
Специально проверил в виртуалке:
1. sudo sh - получил отлуп т.к. нет прав
2.1. sudo vi
2.2. в редакторе :sh - мы в рутовом шеле
Если вы доверяете пользователю запуск определенной программы, то должны и понимать, что доступен весь ее функционал. В т.ч. и запуск шела от того же пользователя, что и запустили саму программу. А самоу программу (в данном случае aptitude и vi ) запустил именно root. sudo - не ограничивает права! Он их повышает, всегда, при грамотной настройке (естественно). В его настройках сидит кто и что может запускать от имени root. все что запускается после команды sudo все идет от рута.
Quote (astronom)
Ставим мускуль, запрашивается пароль рута СУБД, в графике. Тоже без root shell
Ставим какой-нибуь ftp-сервер, запрашивается вариант запуска через init или самостоятельно. Тоже без той самой рут шел.
Так, а при чем тут рут? рут субд != рут системы
Права рута нужны для установки. Для настройки они не обязательны. Если вам нужно дать настройку пользователю введите его в соответствующую группу. Которой позволено редактировать эти самые файлы.
Quote (astronom)
если пользователь знает только свой пароль и получает консоль рута после манипуляций с программами, такое называют брешью.
Это не брешь. Это не понимание какие права и кому мы даем. Если жутко хочется дать пользователю устанавливать программы но не давать этой возможности (выхода в шел). Вам придется подобрать программу не имеющую такого функционала. Или пусть скачивает что нужно в пакетах и архивах и ставит в свою домашнюю директорию.
Еще раз акцентирую: sudo дает права на запуск от имени root указанных программ со всем их функционалом полностью.
Quote (astronom) еще раз: sudo создана для разделения пользователей, в том числе и админов.
Для разделения пользователей созданы: пользователи, группы, права доступа (со всеми дополнительными битами) на файлы и каталоги. sudo только для запуска программ от имени другого пользователя
Quote (astronom)
И да, админ может отвечать за апач и править конфиги апача, патчить его исходники и компилировать новые версии, но доступа к бд у него не будет, т.к., за бд отвечает другой админ.
Совершенно верно. Толкьо sudo здесь совершенно не при чем. Приминение его для этих целей - неправильный подход.
Quote (astronom)
ну, если такая вводная, что есть физический доступ к серверу, то да, любая защита бесполезна. Т.к., всегда можно выдернуть/перерезать/перегрызть/сжечь провода. biggrin
Дело не в водных. А в том, что такая ситуация может быть вполне... Вам не нравиться, что апатитюд может запустить шелл того пользователя который его запустил? Не используйте его, не давайте на него sudo тому пользователю , который может накосячить....
Добавлено (27.05.2011, 15:35)
---------------------------------------------
Quote (astronom)
Quote (alex_edu)
А где и кто сказал про затормозить систему?
Quote (alex_edu)
Смысл компиляции из исходников если вы хотите выжать все из своей системы. Т.е. что то конфигурируете, лишнее не прилинковываете и т.п.
Не затормозить! А нормально работать на любом железе, обеспечивать работу всех своих функций. А вот с помощью компиляции из исходников (при условии осознанного конфигурирования) можно разогнать свою систему. Отключив моули которые не используются, явно указав тип процессора и т.п. Только при этом уже не будет гарантии, что если вы воткнете винт в другую машину все заработает.
Согласитесь:
Имеем некое ПО А. У него есть функционал Б и В. Ставим по умолчанию. Мы имеем и Б и В. При этом каждый из этих модулей расходует память; расходует процессор (на выделение памяти и на установку дефолтных значений); возможно каждый модуль по отдельности читает конфиг (т.е. дисковые операции). Но мы не пользуемся функционалом Б и не собираемся.... Собираем из исходников: при конфигурировании указываем, что на не нужен Б..... В итоге у нас нет накладных расходов на все, что связано с Б..... И так с пакета по нитке - система работает шустрее.....
Как знать может и aptitude есть магический флаг при сборке запрещающий запуск шелла
Добавлено (27.05.2011, 15:39)
---------------------------------------------
Как то давным давно я пробовал сам собрать ядро. Под процессор AMD K5- 75 (так вроде была маркировка). Стало работать на глаз заметно как быстрее..... Только вот конфигурировал ОЧЕНЬ долго. Второй раз "побыстренькому" система не загрузилась
27.05.2011
Сообщение отредактировал alex_edu - Пятница, 27.05.2011, 15:42
|
|
|
|
| |
|
|
alsergast | Дата: Пятница, 27.05.2011, 15:54 | Сообщение # 700 |
alsergast
Ранг: Профессор (?)
Группа: Пользователи
|
| Сообщений: |
4335 |
| Награды: |
58 |
| Статус: |
Offline |
|
Quote (alex_edu) Хотя, с другой стороны, все микрософтовские форматы по сути закрытые. Возможно и не получится его открыть в 100% случаев.
ССылки, кстати, тоже не всегда работают. Например ЭЖ, созданный в Экселе, открыл в Кальке, а по страницам приходится гулять "ручками" - переходы не работают...
27.05.2011
Сообщение отредактировал MACTEP1 - Пятница, 27.05.2011, 16:02
|
|
|
|
| |
|
|
astronom | Дата: Пятница, 27.05.2011, 16:39 | Сообщение # 701 |
astronom
Ранг: Магистр (?)
Группа: Пользователи
|
| Сообщений: |
562 |
| Награды: |
7 |
| Статус: |
Offline |
|
Quote (alex_edu) Текстовый редактор не vi случаем?
sdiff
Quote (alex_edu) В его настройках сидит кто и что может запускать от имени root. все что запускается после команды sudo все идет от рута.
не всегда. Попсовый вариант - запуск от рута, но sudo позволяет запускать программы и от имени других пользователей.
Quote (alex_edu) Так, а при чем тут рут? рут субд != рут системы
я в курсе. Но если следовать вашей логике, то рутом мускуля должен быть только админ.
Quote (alex_edu) Еще раз акцентирую: sudo дает права на запуск от имени root указанных программ со всем их функционалом полностью.
а я акцентирую внимание на том, что введя свой пароль, пользователь получил права рута.
Остальное - разговоры в пользу бедных.
Quote (alex_edu) Для разделения пользователей созданы: пользователи, группы, права доступа (со всеми дополнительными битами) на файлы и каталоги. sudo только для запуска программ от имени другого пользователя
т.е., при добавлении/смене админа, отвечающего за апач, вы предлагаете перелопачивать права доступа на все связанные файлы, а не прописать изменения в одном конфиге?
Что делать в случае, если два пользователя должны иметь право на запуск какого-нибудь браузера, но только один из них должен иметь право на запуск ООо?
Quote (alex_edu) Приминение его для этих целей - неправильный подход.
однако, этот подход широко распространен. Все эти люди ошибаются?
Quote (alex_edu) Дело не в водных.
Да нет, дело именно в водных.
Если мы имеем физический доступ к серверу, весь этот разговор не имеет никакого смысла.
Если на Землю через час упадет Луна, то вообще ничто не имеет смысла.
Quote Не затормозить! А нормально работать на любом железе, обеспечивать работу всех своих функций. А вот с помощью компиляции из исходников (при условии осознанного конфигурирования) можно разогнать свою систему. Отключив моули которые не используются, явно указав тип процессора и т.п. Только при этом уже не будет гарантии, что если вы воткнете винт в другую машину все заработает.
Согласитесь:
Имеем некое ПО А. У него есть функционал Б и В. Ставим по умолчанию. Мы имеем и Б и В. При этом каждый из этих модулей расходует память; расходует процессор (на выделение памяти и на установку дефолтных значений); возможно каждый модуль по отдельности читает конфиг (т.е. дисковые операции). Но мы не пользуемся функционалом Б и не собираемся.... Собираем из исходников: при конфигурировании указываем, что на не нужен Б..... В итоге у нас нет накладных расходов на все, что связано с Б..... И так с пакета по нитке - система работает шустрее.....
Как знать может и aptitude есть магический флаг при сборке запрещающий запуск шелла
т.е., получается, мы компилируем просто ради прикола, чтобы ограничить себя в каких-то функциях?
Вы же сами говорите: можно разогнать систему.
Отсюда вывод: с пакетами система работает медленнее (это старый как мир закон сохранения халявы)
Компилируют ради разгона, ради безопасности, ради добавления/отключения какого-то функционала.
Quote (alex_edu) Как знать может и aptitude есть магический флаг при сборке запрещающий запуск шелла
если создатель пакета дурак, то ему никакой флаг установщика не поможет 
27.05.2011
|
|
|
|
| |
|
|
alex_edu | Дата: Пятница, 27.05.2011, 17:35 | Сообщение # 702 |
alex_edu
Ранг: Магистр (?)
Группа: Пользователи
|
| Сообщений: |
607 |
| Награды: |
7 |
| Статус: |
Offline |
|
Почитал. Да удобно. Только вот если после внесенных изменений есть необходимость еще, что то где-то подкрутить придется - надо записать на бумажку. sdiff понятна, но мне гораздо удобнее метод aptitude. для пользоватеей надо просо подыскать замену. Может apt-get не умеет запускать шел...
Quote (astronom)
не всегда. Попсовый вариант - запуск от рута, но sudo позволяет запускать программы и от имени других пользователей.
ТОлько давайте не будем придираться к словам. Чуть ниже в том же посте я сказал, что "от имени другого пользователя". Давайте сейчас не расширять круг обсуждения
Quote (astronom)
я в курсе. Но если следовать вашей логике, то рутом мускуля должен быть только админ.
Вы не поняли мою логику совершенно. Для доступа к настройкам следует применять группы и права доступа к файлам.
Quote (astronom)
а я акцентирую внимание на том, что введя свой пароль, пользователь получил права рута.
Остальное - разговоры в пользу бедных.
Он получил шел того пользователя от которого запущена программа aptitude. И аптитюд вполне обосновано считает, что если его запустили с определенными правами то ему нет причин париться, что что то нельзя....
Quote (astronom)
т.е., при добавлении/смене админа, отвечающего за апач, вы предлагаете перелопачивать права доступа на все связанные файлы, а не прописать изменения в одном конфиге?
Нет.... Все гораздо проще. Создаем группу apacheadms. Нужные конфиги отдаем этой группе. (chown root:apacheadms /etc/apache2/apache2.conf). Добавляем неужного пользователя в группу. При смене админа одного убираем другого добавляем. И, кстати, в sudo можно оперировать именно группами
Quote (astronom) Что делать в случае, если два пользователя должны иметь право на запуск какого-нибудь браузера, но только один из них должен иметь право на запуск ООо?
Жесть..... Вы это тоже через sudo хотите делать?! Это тоже через группы пользователей. Создаете группы gbrowser и gooo
разрешаете запуск браузера только представителям группы gbrowser, ооо только gooo. Вводите пользователей в соответствующие группы и все....
Quote (astronom) однако, этот подход широко распространен. Все эти люди ошибаются?
Да. Или вы не точно описали задачу. Вы первый, от кого я слышу о подобном применении sudo.
Quote (astronom) Да нет, дело именно в водных.
Это вы судите как пользователь которому хочется решить именно свою задачу. Разработчик должен предусмотреть все варианты.
Если мы имеем физический доступ к серверу, весь этот разговор не имеет никакого смысла.
Если на Землю через час упадет Луна, то вообще ничто не имеет смысла.
Quote (astronom)
т.е., получается, мы компилируем просто ради прикола, чтобы ограничить себя в каких-то функциях?
Для вас это прикол. Для других получить шуструю систему на слабой машине, экономия ресурсов и т.п.
Quote (astronom) Отсюда вывод: с пакетами система работает медленнее (это старый как мир закон сохранения халявы)
С оговоркой, что компилировал грамотный человек. Это естественно и в этом нет ни чего плохого. И это не как вы выразились "еще один способ заморозить систему", это разумная плата за универсальность.
Quote (astronom) если создатель пакета дурак, то ему никакой флаг установщика не поможет dry
Как то по хамски это звучит.... 
Этот пакет использует куча людей, куча админов; этот пакет взяли в дистрибутивы; а вы вот так вот его создателя назвали дураком. А у вас, что есть за плечами?
Уж что что debian точно не для прыщавых пионеров, и дурака бы не допустили к такой важной части....
27.05.2011
|
|
|
|
| |
|
|
astronom | Дата: Суббота, 28.05.2011, 02:41 | Сообщение # 703 |
astronom
Ранг: Магистр (?)
Группа: Пользователи
|
| Сообщений: |
562 |
| Награды: |
7 |
| Статус: |
Offline |
|
Quote (alex_edu) Да. Или вы не точно описали задачу. Вы первый, от кого я слышу о подобном применении sudo.
почитайте Лукаса на досуге.
Quote (alex_edu) Он получил шел того пользователя от которого запущена программа aptitude. И аптитюд вполне обосновано считает, что если его запустили с определенными правами то ему нет причин париться, что что то нельзя....
зачем ему вообще нужен шел, вы можете объяснить?
Quote (alex_edu) Этот пакет использует куча людей, куча админов; этот пакет взяли в дистрибутивы; а вы вот так вот его создателя назвали дураком. А у вас, что есть за плечами?
ну. почитайте, что про хп-шные пакеты пишут кучи людей и кучи админов. Там их не только дураками называют.
И не без основания.
Quote (alex_edu) Нет.... Все гораздо проще. Создаем группу apacheadms. Нужные конфиги отдаем этой группе. (chown root:apacheadms /etc/apache2/apache2.conf). Добавляем неужного пользователя в группу. При смене админа одного убираем другого добавляем. И, кстати, в sudo можно оперировать именно группами
Quote (alex_edu) Жесть..... Вы это тоже через sudo хотите делать?! Это тоже через группы пользователей. Создаете группы gbrowser и gooo
разрешаете запуск браузера только представителям группы gbrowser, ооо только gooo. Вводите пользователей в соответствующие группы и все....
вы про всякого рода SELinux совсем ничего не слышали, или и их тоже надо заменить на группы пользователей?Добавлено (28.05.2011, 02:41)
---------------------------------------------
Quote (alex_edu) Разработчик должен предусмотреть все варианты.
Разработчик какой-то странный: при запуске скрипта от имени рута, он предупреждает, что от имени рута скрипт запускать нельзя. Если запускаешь от обычного пользователя - требует пароль рута и не принимает его. Если запускаешь через sudo, возникает вышеописанный глюк.
Я не разработчик этого пакета и хотел бы узнать, а чего, собственно, хотел сказать таким поведением разработчик этого пакета?
28.05.2011
|
|
|
|
| |
|
|
AYuD | Дата: Понедельник, 30.05.2011, 09:28 | Сообщение # 704 |
AYuD
Ранг: Магистр (?)
Группа: Пользователи
Должность: информатика, математика
|
| Сообщений: |
352 |
| Награды: |
4 |
| Статус: |
Offline |
|
Quote (alex_edu) Как знать может и aptitude есть магический флаг при сборке запрещающий запуск шелла
Такой "флаг" есть в настройках sudo. Не позволяющий программе, запущеной sudo, запускать другие программы. Описан дакументации на сайте разработчика.
Точно так же давно и прекрасно известно, что делать с этим:
Quote (alex_edu) 2.1. sudo vi
2.2. в редакторе :sh - мы в рутовом шеле
Всё это ищется минут за пять. А тут разговоров на три дня только на этой странице.
30.05.2011
|
|
|
|
| |
|
|
alex_edu | Дата: Понедельник, 30.05.2011, 13:55 | Сообщение # 705 |
alex_edu
Ранг: Магистр (?)
Группа: Пользователи
|
| Сообщений: |
607 |
| Награды: |
7 |
| Статус: |
Offline |
|
Quote (astronom) вы про всякого рода SELinux совсем ничего не слышали, или и их тоже надо заменить на группы пользователей?
Я много чего слышал и использую. Вы сейчас все в одну кучу собираетесь свалить?
Quote (astronom)
Разработчик какой-то странный: при запуске скрипта от имени рута, он предупреждает, что от имени рута скрипт запускать нельзя.
Это вы о чем?
Quote (astronom) Если запускаешь от обычного пользователя - требует пароль рута и не принимает его. Если запускаешь через sudo, возникает вышеописанный глюк.
Это только в вашем понимании глюк.
Quote (astronom) Я не разработчик этого пакета и хотел бы узнать, а чего, собственно, хотел сказать таким поведением разработчик этого пакета?
Его вина только в том, что он не думает так как вы. В каком "таком поведении"? Вы разрешили пользователю Х пользоваться определенной программой, на каком основании должен урезаться ее функционал? Тем более если настройка таки есть.
На мой взгляд все логично:
За устойчивость, рабочее состояние системы в целом дожен отвечать администратор этой самой системы. Все остальные пользователи этой системы должны отвечать только за свое жизненое пространство на этой системе. И если один из пользователей натворит нечто ухудшающее нормальную работу системы, администратор этой системы должен иметь возможность все это исправить, плоть да удаления всего что связано с этим пользователем. Установка, обновление - это одна из задач именно этого администратора, поскольку влияет на всю систему.... Я могу поставить все сервисы, которые есть в системе; перезаписать конфиг с тонкой настройкой, и т.д и т.п. Следовательно давать возможность обновлять/устанавливать админ должен дать только тому пользователю, которому полностью доверяет. Ну нельзя быть немножечко беременной. нельзя.Добавлено (30.05.2011, 13:55)
---------------------------------------------
Quote (astronom) зачем ему вообще нужен шел, вы можете объяснить?
Затем, что это это администратор системы....
30.05.2011
|
|
|
|
| |
|
