[Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/

"А. Куликовский" kae на tut.by
Ср Мар 16 16:54:14 UTC 2011 

16.03.2011 16:22, Michael Shigorin пишет:
> On Wed, Mar 16, 2011 at 04:47:32PM +0300, Anton Farygin wrote:
>>>> Вспоминаю об пробном тазике (Школьный 5.0.1),там такая же
>>>> картина -- 755. Переустановил на нем 5.0.2, пока без
>>>> smbldap-tools и домна -- те же 755.  А вот на Школьном
>>>> Мастере всё в порядке -- 700.  Куда смотреть, что делать?
>>> Следует ли понимать, что молчание общественности вокруг того
>>> факта, что в свежеустановленном ALT Linux School Server 5.0 на
>>> домашние каталоги создаваемых пользователей устанавливаются
>>> права доступа 755, то есть любой пользователь может
>>> просматривать и читать файлы любого другого пользователя --
> 
> Нет, конечно.  Возможность доступа по чтению к файлам
> регулируется правами на эти файлы.  При этом ~, ~/Documents
> и ~/tmp "из коробки" имеют права 0700 в качестве меры
> _дополнительного_ ограждения.
_Все_ каталоги внутри ~ тоже 755,   файлы -- 640

>>> в отличии от ALT Linux School Server 4 или ALT Linux School
>>> Master 5.0, где права на каталоги 700 -- является
>>> подтверждением нормальности такого положения вещей для
>>> _школьного сервера_ (хотя и школьного, но всё-таки сервера)?
> 
> Думаю, да.  Не смотрел, но выглядит явно как специально
> оформленная фича.  См. тж. /etc/login.defs
там вот так:
# The umask to use when creating user home directories.  The default
# is 077.
#
#UMASK			77
т.е. как будто дефолтно  700, или как?

> 
>> ну, или в bugzilla, если есть возможность воспроизводить ошибку.
Еще как воспроизводится!
По совету более опытных товарищей -- #25244

> Это не ошибка, а вопрос культуры -- как на местах, так и в
> дистрибутиве.  Как и "всех в группу users" или "per-user groups".
> 
> То есть ни 700, ни 711, ни 751 или 755 нельзя считать ошибкой
> в отрыве от контекста: где-то принято сказать "посмотри мой
> ~/.screenrc", а где-то для разделяемого барахлишка делается
> разделяемый каталог в явном виде.  Также не забываем про
> ~/public_html (хотя для этого как раз достаточно 711).
Вот я тоже за "разделяемый каталог в явном виде" !!
А поскольку у нас всё окружение - оффтопик, то и не один расшаренный по
самбе.

> Мне лично кажется, что для школьного сервера это как раз более
> удачный дефолт, чем 700.  
Ну, если дать особо одаренным юным кулхацкерам лазейку подсмотреть
тексты будущей контрольной, то таки да!  Оно мне надо??   :))))

> Если в конкретном месте это не так --
> перенастройте.  
Если бы смог найти, где и что изменить, то и не отнимал бы время
попусту, но увы... А так... поставил костыль, по крону проверяет новых
юзеров, правит... Но это ведь "не наш метод"! А сервер надо "ещё вчера"
отдавать коллегам...

> Если же во многих местах окажется нужным
> перенастроить -- вот тогда имеет смысл поднимать вопрос
> об изменении этого дефолта для этого дистрибутива.
> 


-- 
С уважением, А.Куликовский
Гимназия №1 г.Дзержинска, РБ

Подробная информация о списке рассылки Sysadmins