=?iso-8859-1?q?=5Bmdk-re=5D_Re=3A_=5Bmdk-re=5D_VNWare_-_=D5=D3=C5=DE=C5?= =?iso-8859-1?q?=CE=3F?=

Roman S =?iso-8859-1?q?rromas_=CE=C1_mailru=2Ecom?=
Пт Апр 20 14:58:11 MSD 2001


Цитирую salvatore на ace.cs.nstu.ru:

> Если вы один пользуетесь этой машиной - можно просто поставить 777 на
> раздел с вынью. Я так и делал.
> Кстати, может есть в этом скрытая угроза системе? Если кто знает,
> какие проблемы могут быть - скажите, пожалуйста!

Да. Есть.
Дело в том, что "раздел работает и ладно" - забыли, пока работает...
Но: В один прекрасный момент решаем пустить кого-либо на мошину (в текстовый шелл, али в X-ы),  
не важно, удалённо аль локально.
Или кто-нибудь поимеет доступ без вашего ведома... Это конечно очень мало вероятно, но 
береженого бог бережет, а небереженого милиция стережет.
Даже на домашней машине, пость даже игровой на 90% может завалятся файлик, удаление или 
просмотр которого посторонними нежелателен... (выписка с вашего счёта которую в 
нередактированном варианте не стОит видеть даже жене, проект договора, который взяли на 
дискетке из конторы, дабы покусмекать в выходные, приглашение на пьянку с адресами и 
фамилиями, куки и история браузера) - от явно нежелательного, до мелочей, на которые не 
обращаем внимания, но по котрым многое можно узнать и понять...
Рассказать, как _факт_ наличия скажем, mail.ru в истории браузера поможет во взломе системы, или 
сами догадаетесь????
Разве вспомните потом, что раздел открыт всем???
В Unix-системах (да и в прочих многопользовательских) персональная информация ложится в /home, 
куда не имеет доступа никто, кроме администратора.
В системах однопользовательских и выросших из них имеется в этом плане некоторый бардак (даже 
если есть возможности разграничения доступа, то они плохо вяжутся с общесистемными 
умолчаниями, ту же NT/2000 необходимо очень тщательно (и не быстро) настраивать), 
распространяющийся и на моторные рефлексы пользователей, начинавших с этих систем.
Лучше всё делать аккуратно сразу...

Доверять чужаку можно _только_ в том случае, если чужак физически не может навредить :)

Что-то я заговорился :)
Применительно к случаю:
Лучше монтировать раздел под основного пользователя, доступ - пользователь полный, остальным 
шиш с маслом.
Трудов совсем мало, но будет теплее и суше.
Кстати, в 2.4.3 из сизифа - RSBAC, новинка для меня. Очень интересная и полезная штука.
Мне нравится.

Rgds!
Roman Savelyev




Подробная информация о списке рассылки community