[Comm] Re: ?: strict permissions on dirs & so on
Oleg K.Artemjev
olli на rbauto.ru
Пт Авг 29 16:28:34 MSD 2003
On Wed, 27 Aug 2003 19:46:24 +0400
Alexey Tourbin <at на altlinux.ru> wrote:
> On Wed, Aug 27, 2003 at 03:15:28PM +0400, Oleg K. Artemjev wrote:
> > я не знаю как это в сузе завязано с rpm'ами, да и противоречие кажущееся.
> > Вам хватает одних ограничений, мне - других. Поскольку по большей части
> Права доступа на "стандартные" каталоги хорошо продуманы и хорошо
> известны. Выигрыш от дополнительных ограничений кажущийся.
возможно кажущийся, а возможно и есть. ;)
> > ограничения можно поделить минимум на 3 типа - ничего, средне, максимум,
> > то не удивительно, что в сузе сделали такие файлики. Соответственно имеется
> Здесь максимум ограничений не соответствует максимум security (если
> что-то ограничить, придется давать больше привилегий некоторым
> пользователям/процессам; а привилегии можно использовать не по
> назначению). Задача прав доступа на стандартные каталоги -- именно
> зафиксировать ограничения в "среднем" положении, чтобы сделать возможным
> эффективное использование других механизмов.
вот вам пример:
[olli на ws002 olli]$ ls -ld /etc/sysconfig/network-scripts
drwxr-xr-x 2 root root 1024 Июл 31 16:24 /etc/sysconfig/network-scripts
[olli на ws002 olli]$
Ничего страшного в общем-то. Но мне бы больше понравилось 750 на root.wheel. Чем меньше отдаешь информации
о настройках - тем лучше..
> > этих вариантов и адаптировать под себя. Так мне на домашней тачке нужно дать доступ
> > только 3м-4м людям, причем с разным уровнем доступа. Будь у меня такой файлик и утилита
> Какие уровни доступа вы хотите сделать?
Это не существенно. Ж:) Честно говоря просто влом писать много. Я могу это все руками сделать. Я к тому, что
если бы у меня был файлик а-ля сузе, то я бы его отредактировал, скормил бы утилите и все права встали бы
так как мне нравится. А в данном случае мне либо придется рисовать этот скрипт самостоятельно, либо ходить
ручками по каталогам.
> > для его применения мне было бы проще сделать вышеуказанную работу. Соответственно
> > раз этого нет - придется делать самому, поскольку адаптировать от другого дистрибутива
> > - та еще морока.
--
Bye.Olli. http://olli.digger.org.ru
Подробная информация о списке рассылки community