[devel] (ldv) control wishlist & discussion

Сб Янв 25 20:10:58 MSK 2003

	Здравствуйте.
Дима, вдогонку пожелание насчет control ('*' == предполагаемое
умолчание):

/usr/sbin/smbmnt
/usr/bin/smbumount
*	public: 4711 root root
	netadmin: 4710 root netadmin
	restricted: 4700 root root

/usr/bin/xmms
*	normal: 0711 root root
	public: 4711 root root
	audio: 4710 root audio

/usr/sbin/pppd
*	normal: 0711 root root
	public: 4711 root root
	uucp: 4710 root uucp

/usr/bin/kppp
[другие звонилки?] ....

Здесь несколько замечаний: если я правильно понимаю, kppp
сотоварищи повышенные права могут понадобиться только для доступа
к порту, в отличие от pppd, которому все же нужен euid 0.

При этом права на устройства /dev/ttyS* даются в т.ч. группе uucp
(btw: надо проверить на отсутствие перехлестов с pam_console,
кажется, где-то там они сбрасывались до слишком жестких -- да и
вообще подумать по части совместимости control и pam_console);
возможно, на сейчас это не самое часто задействованное
(ассоциируемое) предназначение и группу тоже стоило бы
переименовать в какой-нить serial.

Т.е.: надо точно выяснить, кому из UI каких прав в нескольких
случаях (public/$group) хватает -- и число проблем с "поднятием
диалапа" заметно уменьшится.

---

Также по каталогам (могу дублироваться):

/boot/
/lib/modules/
	public: 0755 root root
?	wheel: 0750 root wheel
*	restricted: 0700 root root

Здесь лично мне в классе установки "рабочая станция" разумным
умолчанием кажется public, о чем уже и говорилось -- just
reminding. :)

/var/log/syslog/
	public: 0755 root root
	wheel: 0750 root wheel
*	restricted: 0700 root root

/var/log/httpd/
	public: 0755 root root
*	webmaster: 0750 root webmaster
	restricted: 0700 root root

Использование root privs для наблюдения лога вебсервера (а также
его анализа -- напоминаю, я собираю и использую webalizer) --
малоосмысленный overkill IMVCO.

/var/log/vsftpd.log
	public: 0755 root root
*	ftpadmin: 0750 root ftpadmin
	restricted: 0700 root root

То же.

PS: прошу прощения, если что-то продублировал, пишу из дому.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 232 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20030125/d2ec6d9f/attachment-0001.bin>