/home/... vs. prava
Zdenek Mazanec
zdenek.mazanec na contactel.cz
Středa Únor 25 08:06:52 CET 2004
> > Uzivatel, ktery ma pristup ke cronu muze ze systemu udelat kulnicku na
> > drivi i jinymi (bezdecnymi) zpusoby.
>
> Muzete to nejak vic rozvest? Tedy ja mam na vetsine pocitacu cron povoleny
> a zatim ani jeden z nich kulnicku nepripomina.
Mam na mysli predevsim zadavani jobu, jejiz doba behu je vetsi nez perioda
spousteni. Zvlaste v pripade, kdy pracuji s temi saymi daty. Takovych
pripadu jsem uz nekolik zazil, a proto crona nikdy vice beznym lidem.
> V principu prece neni zadny problem si spustit vlastni cron. Dokonce to
> neni problem ani v pripade, ze je pomoci limitu omezena doba behu procesu,
> to se totiz tyka jen exec(), takze dostatecne castym fork() to lze obejit.
> Navic i kdyby neslo (nejake patche do kernelu timto smerem existuji), tak
> si holt cron spustim na jinem stroji a pro kazde vykonani kyzene akce
> pouziju ssh.
Ano, ale toho bezny uzivatel neni schopen. Paklize je, tak zaznamena i
pritomnost msecu.
> > Uzivatel, ktery tusi co je cron neni takovy <pip> aby veril na duchy.
>
> To byste se divil.
No nevim, mozna mate pravdu. Je mozne, ze uzivatele maji velmi selektivni
znalosti. Osobne mi prijde divne, aby existoval clovek, co si pusti crona na
pocitaci x a z nej pomoci ssh poustel joby na pocitaci y a zaroven netusil
co je msec (a nebo aby nebyl schopen jej vysledovat z projevu v systemu).
Pripoustim ale, ze takovi mohou existovat.
> > > Nevim, nevim, ale v takovem systemu je imho neco shnileho, kdyz musi
msec
> > > porad prenastavovat pristupova prava...
> >
> > Treba chmod 777 /home/$HOME kvuli predani nejakych dat a pak plac nad
> > smazanymi daty?
>
> Pokud tohle nekdo udela, je to blb a patri mu to. Pokud je z politickych
> duvodu nutne blby na systemu tolerovat, nebo dokonce hajit, tak by se jim
> podobne veci mely zamezit nejak ucinneji (konkretne tohle uz jsem
> popisoval).
Ano. A msec jim to minimalne tak zosklivi, ze to prestanou delat. Aspon
nekterym ;)
> > Ne vazne, msec spoustu veci neresi, ale na druhou stranu, vuci (temer)
> > kazde namitce proti nemu se da najit protiargument.
>
> Zatim jsem neslysel ani jeden rozumny argument, ktery by obhajil
> periodicke nastavovani prav. Ze k tomu msec urcen neni (*) a je to jen
> sideefect toho, jak je v MDK defaultne nastaveny, je jina vec.
No, ja zase neslysel jediny proti ;-) Uznavam, ze to kontroverzni nastroj a
nekumu se preventivni zasah nemusi v tomto pripade nemusi libit. Ja osobne
proti tomu nic nemam, stejne jako proti preventivnim zasahum nekterych ids
systemum a podobnych veci. Admin, ktery chce o provedenych zmenach dozvi.
Pokud admin nechce, aby se prava menila, muze to tak nastavit. Punktum.
> (*) Ja si to predstavuju tak, ze msec ma hlavne provadet audity. Kdyz
> najde nejakou nesrovnalost, tak by mel zacit predevsim hlasite kricet. Ze
> soucasne zjedna preventivne napravu je hezke, ale vzhledem k tomu, ze
> takovou napravou nic nevynuti, to bez nasledne akce admina (at uz to bude
> akce na systemu nebo jeho uzivateli) ztraci smysl.
Castecne mate pravdu. Nicmene on hlasite krici _a zaroven_ se pokusi o
napravu. je na adminovi, zda mu nejak systemove pomuze nebo nikoliv. Kde je
tedy problem?
--
Zdenek Mazanec, Contactel s.r.o.
http://mandrake.contactel.cz
Silver MandrakeClub Member
Další informace o konferenci Linux