PLD CVS: SPECS wojtek
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Nie, 7 Mar 1999, 21:02:21 CET
On Sun, 7 Mar 1999, Wojciech Slusarczyk wrote:
[..]
> > Co do Solka. Po spachowaniu go patchami zalecanymi przez suna nie
> > wleziesz tam tak czy inaczej, a o tym które informacje mają być dostępne
> > dla użytkownika, a które nie możesz sam zdecydować. Tak czy inaczej dostęp
> > do czytania sysloga nie jest tu decydujący. Po za tym nadall .. rozmawiamy
> > o skryptach /etc/rc.d/init.d/*
>
> Tomek.. -- przeciez juz kilkadziesiat razy bylo mowione ze
> jest grupa "root" i wszstkie pliki konfiguracyjne i logi maja w PLD mody
> 640 root.root 750 root.root -- wystarczy sie dopisac do grupy root i po
> problemie servis sobie sprawdzisz bez problemu jak bedziesz w grupie root,
> Jak wyjdzie patch solara na 2.2.x i bedziemy mieli maskowanie /proc to
> wtedy rozwazanie bedzie jak znalazl ...
Powiedz mi czym różni się praca z konta roota z wstawieniem siebie do
grupy root ? .. a fakt jest jedna nie mogę zajrzeć do /etc/shadow.
Czy dla każdego administratora zamierzasa zalecać to żeby dodał się do
grupy root ????????? Chcesz żebym musiał szczękę zbierać z podłogi ?
Przepraszam ale grupa root jest _tylko_ dla roota i wszrelkie manipulacje
w tej grupie to jest wystempek przeciwko lege artis w formie podstawowej.
Nie mam zwyczaju pracować normalnie na koncie z uprawnieniami roota i
odrużniam wykonywanie czegoś z uprawnieniami roota od pracy na koncie
roota. Powyższym dajesz świadectwo tego że _kompletnie_ nie zdajesz
sobie z konsekwencji swoich "propozycji". Z jednej strony zachowujesz się
paranoicznie wstrzemięźliwie po to żeby w momencie kiedy ów paranoizm
przszkadza Ci w wykonywaniu normalnych operacji naprawiać to dzirawieniem
włąsnego systemu. Jak często używasz rm ? jak często jesteś zmęczony ?
Zauważasz, że to co poroponujesz może doporowadzić do szybkiego zgazowania
prawie całego systemu i to tylko dlatego, że palec Ci się omsknie (?).
Po po ostatnie. Nie widzę związku między patchem Solara, a perm na
/etc/rc.d/init.d/*. Masz niemiły zwyczaj odbiegania (non stop) od sedna
dyskusji.
> Jeszce raz 754 i 744 to nie na Linuxie -- masz system nie ma zwalonego
> kernela jak Solaris i po zmianie +x byle jaki uzer nie bedzie mogl wykonac
> zakazanego programu czy podniesc servsisu ... (zart oczywiscie -- ale
> jak inaczej tlumaczyc takie rozwiazanie ? ;)
Wojtek napradę proponuję .. odpocznij. Co ma kernel tego czy innego
systemu do perm na /etc/rc.d/init.d/* ?
I jeszcze jedno co ma zwalone kernel Solka, że 754 na /etc/init.d/* staje
się niebezpieczne dla tego systemu ? Zauważasz, że znowu odlatujesz w
kierunku który nie ma związku z dyskusją, a w tym wypadku dodatkowo z
czymkolwiek co jest realne (?). Jeżeli miał być to żart to było bardzo
dziwny żart.
I jeszcze jedno .. to czy na /etc/rc.d/init.d/* będzie nawet 755 nie robi
tutaj aż tak dużej różnicy gdyż wykonanie czegoś z konta nie roota, a
wykonanie tego samego tak zeby odniosło to taki sam skutek jak z konta
roota to dwie różne rzeczy.
Gdyby były to 750 czy 700 na tych skryptach nic by nie pomogły bo evil
user mógłby sobie ściągnąć z rpm-a ten skrypt, wykonać chmod +x i próbować
wykonać ten skrypt .. i gdyby coś t tym namieszał to tym bardziej 750 czy
700 _nic_ by tu nie pomogły.
Nie podałeś Ty ani nik inny powodów dla których na skryptach które nie
zawierają parametrów konfiguracyjnych konkretnego systemu musiało być 750
czy 700. W tym wypadku 754 czy 744 jest o tyle zasadne, że mogę sprawdzić
zawartość tych skryptóew (sprawdzić je czy ktoś czrgoś tam nie namieszał)
bez wykonywania czegoś z uprawnieniami roota, które to uprawnienia nie
muszą w tym wypadku być niezbbędne do takiej operacji, a same skrypty o
ile ktoś nie szykuje systemu na specjalne okazje będą takie same w
przypadku każdego systemu. Nie mam zamiaru doprowadzać do sytuacji w
któtrej ktoś miałby powody do tego żeby PLD tłumaczyć jako Paranoid Linux
Distribution.
Nie zamierzam także brac pod uwagę wyników _jakichkolwiek_ głosowań (to
apropo głosu o zrobieniu automatu do głosowania). Albo ktoś poda
argumenty dlaczego robić tak, a nie inaczej albo może spokojnie zabrać
swoje zabawki i pójść do innej piaskownicy. Nie będziemy robić niczego z
użyciem argumentów siły .. tylko silne argumenty mają szansę.
Tak czy inaczej dla mnie EOT.
kloczek
PS. Mogłeś się choć spytać co do przeniesienia dyskusji z priv na pub.
--
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-devel-pl