711 contra 755

Grzegorz Stanislawski stangrze w open.net.pl
Wto, 19 Sty 1999, 17:50:46 CET


On Tue, 19 Jan 1999, Tomasz Kłoczko wrote:

> On Tue, 19 Jan 1999, Konrad Stepien wrote:
> [..]
> > Ja to widzę tak, jak ktoś chce się pobawić w łamanie PLD, to zawsze
> > może sobie PLD u siebie założyć, i wtedy 711 na nic się nie przyda.
> > Za to na różne takie suidy i inne strategiczne to bym dawał
> > 750 root:jakas_grupa (albo 710)
> 
> Zapomniales dodac Konrad czemu to mialoby sluzyc ?
> co bedzie umozliwioac, a co kompletnie (o ile wogole) blokowac ?
> 
To jest bardzo przydatne rozwiazanie. Abstrachujac od calego tego gadania
o SbO w ten sposob ogranicza sie dostep userow to programow. Np. do irca.
oczywiscie user moze sobie sciagnac program i zainstlowac w swoim home'ie
ale to tez mozna zablokowac przez noexec na /home czy /home/users.

Wyglada na to ze przez to cale gadanie zapominacie o celu istnienia praw
dostepu, wlasciciela i grupy.

Moja propozycja jest taka zeby nie meczyc dalej tego tematu, bo i tak
ustawianie praw dostepu na konkretne pliki i programy jest zadaniem dla
konkretnego administratora konkretnego serwera. Powinny byc ustawiane tak
aby w tym konkretnym przypadku userzy mogli wykonywac swoja rowniez
konkretna prace. Zupelnie inny powinien byc uklad takich praw na 
"domowym linuxie", serwerze jakiegos ISP, na serwerze pocztowym w jakiejs
firmie, na serwerze bazodanowym czy wreszcie na firewallu.
Dajcie sobie panowie siana z tym ostrzeniem praw i zostawcie to adminom. 
W szczegolnosci, prosze, nie uszczesliwiajcie ich na sile.
Wszystkim gustom na pewno nie powolacie a narzucanie okreslonych rozwiazan
z gory kojarzy mi sie z roznymi zlymi rzeczami.
Kwestie weryfikacji filesystemu z tym co jest w rpmdb mozna zawsze
rozwiazac jakims diffem, albo czyms w tym rodzaju.

 > kloczek

Grzegorz Stanislawski
Open-Net / PKFL




Więcej informacji o liście dyskusyjnej pld-devel-pl