PLD CVS: SPECS wojtek

[Tomasz Kłoczko]

On Sun, 7 Mar 1999, Wojciech Slusarczyk wrote:

> On Sun, 7 Mar 1999, [ISO-8859-2] Tomasz Kłoczko wrote:
> 
> > Powiedz mi czym różni się praca z konta roota z wstawieniem siebie do
> > grupy root ? .. a fakt jest jedna nie mogę zajrzeć do /etc/shadow.
> > Czy dla każdego administratora zamierzasa zalecać to żeby dodał się do
> > grupy root ????????? Chcesz żebym musiał szczękę zbierać z podłogi ?
> 
> Tym, ze w chwili obecnej dopisujac sie do grupy root (bedac oczywiscie
> nadzorca maszyny) masz prawo zagladac w logi, zagladac w pliki
> konfiguracyjne, sprawdzic czy wszystkie servisy sa 'na chodzie',
> blyskawicznie wykonac np.: rpm -Va; innymi slowy masz wszystkie
> uprawnienia do 'dogldania' chodzcej maszyny bez prawa modyfikowania
> czego kolwiek -- jak chcesz modyfikowac to przechodzisz na roota... 

Sprubuj wykonać "rm -rf /" będąc w grupie 0.

> Dalaczego grupa root ? Ano bylo juz walkowane na tej liscie jakis czas
> temu i to mocno -- _zadnego_ zagrozenia wynikajacego z dodania
> administratorow do tej grupy. Przeciez jestes na magellanie w tej grupie
> (wojtek nie jest) i cos starsznego sie stalo/dzieje ?  

Wyjdż po za włąsną osobę. Zabacz to z zewnątrz.

> > Przepraszam ale grupa root jest _tylko_ dla roota i wszrelkie manipulacje
> > w tej grupie to jest wystempek przeciwko lege artis w formie podstawowej.
> 
> Bylo o tym ... propozycje padaly root.wheel, root.admin .. zostalo
> root.root ...

Jeszcze raz. Uważam za naganną pracę z podwyższonymi uprawnieniami. Do
wykonywania czynności odminstracyjnych wykonuje się różne rzeczy z
_uprawnianiami_ roota, a te można pozyskać na kilka sposobów. Pierwszy to
sudo. Admin kim by nie był _zawsze_ w normalnej pracy powinien
wykorzystywać szeregowe konto o takich samych uprawnianiach jak reszta.
Wszelkie inne postępowania to jest kręcenie bicza na wałasną skórę. Każdy
z nas może być zmęczony. Każdy może być niedoinformowany o konsekwencjach
tego czy innego kroku. Lepiej żeby wykonywał wszelkie operacje
wykraczające po za eksploatację systemu (badzur, konfigurowanie) w
sytuacji kiedy tylko na ten czas ma podwyższone uprawnieania. To jest BHP
pracy jeżeli TEGO Was nikt nie nauczył to pora najwyższa przyswoić sobie
ten kanon. 

Wojtek .. naprawdę. Uznaj, że możesz czegoś się przy tej okazji nauczyć.
Nie miał okazji nikt Ci powiedzieć o tym, że to co sobie wyobraziłeś
jest nipoprawne. Nie ma sprawy. Właśnie masz możliwość dowiedzenia się o
tym. Przemyśl to.

Ogrupach admin, wheel na potrzeby administrowania nie ma co wogóle nawet
myśleć. Można myśleć o tym jak czasowo dawać uprawnienia do pracy wybranej
grupie osób z tymi uprawnieniami. Tak czy inaczej możliwość zaglądania do
/etc/rc.d/init.d to nie jest czynność administracyjna.

> > Nie mam zwyczaju pracować normalnie na koncie z uprawnieniami roota i
> Ja tez ... 

To po co podtykasz pomysł o dodawaniu siebie od grupy root ?

> > odrużniam wykonywanie czegoś z uprawnieniami roota od pracy na koncie
> > roota. Powyższym dajesz świadectwo tego że _kompletnie_ nie zdajesz
> > sobie z konsekwencji swoich "propozycji". Z jednej strony zachowujesz się
> 
> Mylisz dwie rzeczy : konto "root" i grupa "root" na PLD -- po prostu
> zapomniales o poprzednich debatach i dalej myslisz, ze jak sie dopisze
> uzytkownika do tej grupy to juz bedzie drugim root'em ... Jezeli to
> pozostalym nie odpowiada to mozemy zmienic na wheel, admin czy tam co
> kolwiek sobie ludzie zarzycza ... Jednak IMHO ci ktorzy pracuja na PLD
> (zainstalowali z ftp.ps.pl ) wiedza jak to jest od wewnatrz i ze zadnego
> zagrozenia nie ma ... albo sie z jakis powodow nie chcieli wypowiadac w
> tej kwestii ..

Jeszcze raz przeczytaj powyższe o pracy ciągłej na szeregowym koncie i
wykonywaniu operacji administracykjnych w specjalny sposób, który
sygnalizuje "zwiększ poziom uwagi .. możesz coś spieprzyć".

> > Wojtek napradę proponuję .. odpocznij. Co ma kernel tego czy innego
> 
> Ale jak tu odpoczac kiedy wszystko staje powoli na glowie, jak zajze do
> CVS ...
> 
> > Gdyby były to 750 czy 700 na tych skryptach nic by nie pomogły bo evil
> > user mógłby sobie ściągnąć z rpm-a ten skrypt, wykonać chmod +x i próbować
> > wykonać ten skrypt .. i gdyby coś t tym namieszał to tym bardziej 750 czy
> > 700 _nic_ by tu nie pomogły.
> 
> ... Nie skomentuje tego co wyzej tylko powiem co juz powtarzalem
> kilkadziesiat razy: 
> 
> W skryptach startowych kazdy moze ladowac swoje programy programiki typu
> accounting i co tam jeszcze mu sie zywnie podoba zatem IMHO nie powinno
> byc mozliwosci odczytu tych plikow dla osob trzecich ...

Może w takim razie wogóle załóżmy %defverify(not mtime md5 size) Przecież
wszystko można zmienić ? Jak częśto przewidujesz _konieczność_
modyfikowania /etc/rc.d/init.d ? Ja wcale.

> Natomiast grupa administarcyjna pracujaca w danej chwili z konta zwyklych
> uzytkownikow powinna miec prawo wgladu w danej chwili do tych skryptow i
> sprawdzenia czy dany servis chodzi... 

Wojtek nie wiem kto Ciebie uczył administeowania. Ja miałem okazję
pracować z ludźmi, którzy robią to już od jakiś 12tu lat. Przypadki jakie
oni mieli wystarczająco dobrze pokazują mi, że to co proponujesz to jest
bezmyślne uczenie się na błędach. Nie mam zamiaru uczestniczyć w błędach
jakich możliwości chcesz tworzyć.

> > Nie podałeś Ty ani nik inny powodów dla których na skryptach które nie
> > zawierają parametrów konfiguracyjnych konkretnego systemu musiało być 750
> 
> 1000 razy juz mowilem ... chyba ze wogole nie zawracasz uwagi na to co
> mowie i pisze a dopiero zaczynasz sie interesowac moja robota jak Ci
> przyjdzie wyciag z CVS-loga i zobaczysz, ze cos nie po Twojej mysli
> zrobilem.

Owszem i robię tak nie tylko w Twoim przypadku.
Owszem za każdym razemdo tych uwag dołaczam stosowną argumentację. 
Owszem okazuje się czasami, że się myliłem zgłaszając jakieś wątpliwości
Nie jesteś tu wcale wyjątkiem, a tutaj nie podałeś uzasadnienia takiej
modyfikacji, a co więcej proponujesz rozwiązania nie do przyjęcia.

> > przypadku każdego systemu. Nie mam zamiaru doprowadzać do sytuacji w
> > któtrej ktoś miałby powody do tego żeby PLD tłumaczyć jako Paranoid Linux
> > Distribution.
> 
> PLD nie jest dystrybucja do ktorej powinno sie namawiac/reklamowac
> to ma byc/bedzie Mercedes-Benz -- 0 reklamy -- sprzedaz z pnia, niech
> sobie tlumacza jak chca Paranoic, czy co tam im sie zapragnie...
> Ci co maja uzywac beda uzywali ci co nie to i tak nie namowisz ich ...

Czy ja coś o reklamie wspominałem ?

> > Nie zamierzam także brac pod uwagę wyników _jakichkolwiek_ głosowań (to
> > apropo głosu o zrobieniu automatu do głosowania). Albo ktoś poda
> 
> Nie ladnie, bardzo nie ladnie ...

Bo .. ?

> > argumenty dlaczego robić tak, a nie inaczej albo może spokojnie zabrać
> > swoje zabawki i pójść do innej piaskownicy. Nie będziemy robić niczego z
> > użyciem argumentów siły .. tylko silne argumenty mają szansę.
> 
> Zauwaz ze jak jest kwestia sporna do do tej pory sie ludzie wypowiadali
> na dany temat a potem jezeli sprawa stala juz na ostrzu noza bylo
> glosowanie w ktorym kazdy sie "wypowiadal" ... 

Powiedziałem co sądzę o głosowaniu. Powiedziałem także jak wobrażam sobie
mechanizmy rzącze zmianami. Chcesz coś robić przez głosowanie. Nie ma
sprawy. Rob to gdzie indziej.
.Sorki Wojtek ale ja ten stuff który produkujemy także używam i nie mogę
się zgodzić na to zeby to w ten sposób działało. To za duże ryzyko,
którego nie mam najmniejszego zamiaru ponosić. Jeżeli chcesz to postrzegać
jako zamordyzm to tak jest to zamordyzm oparty o względy techniczne ...
bynajmniej nie o widzimisie tej czy innej osoby.
Po za tym przypomnij sobie .. nie każdy uczestniczył w tym głosowaniu
(ja w nim nie uczewstniczyłem).

Jeszcze raz .. nie ma _najmniejszego_ zagrożenia w dawaniu praw odczytu do
skryptów które nie mają w zasadzie prawa się zmieniać w 99 procentach
instalacji opartych o dowolną dystrybucję. Pozostałym procentem nie mam
zamiatu się przejmować, co i także Tobie polecam.

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*