[sisyphus] file/directory perms, security levels (was: control)

[Michael Shigorin]

On Sat, Dec 28, 2002 at 10:00:25PM +0300, Dmitry V. Levin wrote:
> > 2) ср. "принцип минимальных привилегий".  Если минимальной
> >    привилегией для достаточно _обыденных_ в ряде случаев
> >    действий, которые не несут опасности с точки зрения
> >    администратора системы, является euid 0 -- это неправильно.
> Кто будет решать? Администратор?

Да.

Причем желательно в два этапа -- при установке "зажим" по
умолчанию определяется метаклассом ("сервер/стол"), плюс
изменяемо там же (в verbose install) и после установки (насколько
я понимаю, так и задумывается).

> > > Готов выслушать предложения того, что нужно брать под control.
> > В частности, /home.  В ряде случаев более оправданными на его
> > подкаталоги могут быть права 755 (при том, что мое обычное
> принято

(подумал про 711 для доступа к ~/public_html, но это делается per
user и с правами пользователя => spam)

> > Возможно, /var/spool/*.  По крайней мере в спеке leafnode мои
> > сомнения по этому поводу чуть-чуть отражены :-)
> подробнее про *

/var/spool/news:
- public: 775 root news
- restricted: 770 root news

Мотивация: *в принципе*, могут существовать per-host или
password-based ограничения на доступ к спулу посредством NNTP;
при текущей схеме (в leafnode, по крайней мере) вполне получится
читать из спула при наличии доступа к соотв. fs.

Пишу применительно к leafnode; хотелось бы услышать мнение
майнтейнера INN.  Костя, ау! :-)

По части g+w в случае leafnode: здесь надо иметь права создавать
каталоги в %_spooldir/news/ -- соотв. кто-то из user/group news
должен быть способен писать туда.

> > [to be cont'd]
> ждемс.

Возможно, осмысленно добавить вариант "o+r" для /var/spool/mail.
Мотивация: по site policy может быть несколько аккаунтов без прав
root, владельцы которых могут (...обязаны, заинтересованы...)
осуществлять общий мониторинг системы (пример -- osdn.org.ua).

Я постараюсь обойти местный знакомый хостмастерский люд, а тем
временем предложу всем майнтейнерам вспомнить, не было ли где
колебаний по части того, какие права уместны для заданного
файла/каталога -- и писать сюда.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 187 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20021229/214f41d4/attachment-0011.bin>