/home/... vs. prava

[Jan Houstek]

On Wed, 25 Feb 2004, Zdenek Mazanec wrote:

> Uzivatel, ktery ma pristup ke cronu muze ze systemu udelat kulnicku na
> drivi i jinymi (bezdecnymi) zpusoby.

Muzete to nejak vic rozvest? Tedy ja mam na vetsine pocitacu cron povoleny
a zatim ani jeden z nich kulnicku nepripomina.

V principu prece neni zadny problem si spustit vlastni cron. Dokonce to
neni problem ani v pripade, ze je pomoci limitu omezena doba behu procesu,
to se totiz tyka jen exec(), takze dostatecne castym fork() to lze obejit.
Navic i kdyby neslo (nejake patche do kernelu timto smerem existuji), tak
si holt cron spustim na jinem stroji a pro kazde vykonani kyzene akce
pouziju ssh.

> Uzivatel, ktery tusi co je cron neni takovy <pip> aby veril na duchy.

To byste se divil.

> > Nevim, nevim, ale v takovem systemu je imho neco shnileho, kdyz musi msec
> > porad prenastavovat pristupova prava...
>
> Treba chmod 777 /home/$HOME kvuli predani nejakych dat a pak plac nad
> smazanymi daty?

Pokud tohle nekdo udela, je to blb a patri mu to. Pokud je z politickych
duvodu nutne blby na systemu tolerovat, nebo dokonce hajit, tak by se jim
podobne veci mely zamezit nejak ucinneji (konkretne tohle uz jsem
popisoval).

> Ne vazne, msec spoustu veci neresi, ale na druhou stranu, vuci (temer)
> kazde namitce proti nemu se da najit protiargument.

Zatim jsem neslysel ani jeden rozumny argument, ktery by obhajil
periodicke nastavovani prav. Ze k tomu msec urcen neni (*) a je to jen
sideefect toho, jak je v MDK defaultne nastaveny, je jina vec.

-- Honza Houstek


(*) Ja si to predstavuju tak, ze msec ma hlavne provadet audity. Kdyz
najde nejakou nesrovnalost, tak by mel zacit predevsim hlasite kricet. Ze
soucasne zjedna preventivne napravu je hezke, ale vzhledem k tomu, ze
takovou napravou nic nevynuti, to bez nasledne akce admina (at uz to bude
akce na systemu nebo jeho uzivateli) ztraci smysl.