[Sysadmins] ALT 5 Школьный Сервер и права доступа на /home/

Michael Shigorin mike на osdn.org.ua
Ср Мар 16 14:22:11 UTC 2011 

On Wed, Mar 16, 2011 at 04:47:32PM +0300, Anton Farygin wrote:
> >>Вспоминаю об пробном тазике (Школьный 5.0.1),там такая же
> >>картина -- 755. Переустановил на нем 5.0.2, пока без
> >>smbldap-tools и домна -- те же 755.  А вот на Школьном
> >>Мастере всё в порядке -- 700.  Куда смотреть, что делать?
> >Следует ли понимать, что молчание общественности вокруг того
> >факта, что в свежеустановленном ALT Linux School Server 5.0 на
> >домашние каталоги создаваемых пользователей устанавливаются
> >права доступа 755, то есть любой пользователь может
> >просматривать и читать файлы любого другого пользователя --

Нет, конечно.  Возможность доступа по чтению к файлам
регулируется правами на эти файлы.  При этом ~, ~/Documents
и ~/tmp "из коробки" имеют права 0700 в качестве меры
_дополнительного_ ограждения.

> >в отличии от ALT Linux School Server 4 или ALT Linux School
> >Master 5.0, где права на каталоги 700 -- является
> >подтверждением нормальности такого положения вещей для
> >_школьного сервера_ (хотя и школьного, но всё-таки сервера)?

Думаю, да.  Не смотрел, но выглядит явно как специально
оформленная фича.  См. тж. /etc/login.defs

> скорее у вас не совсем корректное место для вопроса.

Ну почему же -- для этого вопроса примерно как и community на .

> ну, или в bugzilla, если есть возможность воспроизводить ошибку.

Это не ошибка, а вопрос культуры -- как на местах, так и в
дистрибутиве.  Как и "всех в группу users" или "per-user groups".

То есть ни 700, ни 711, ни 751 или 755 нельзя считать ошибкой
в отрыве от контекста: где-то принято сказать "посмотри мой
~/.screenrc", а где-то для разделяемого барахлишка делается
разделяемый каталог в явном виде.  Также не забываем про
~/public_html (хотя для этого как раз достаточно 711).

Мне лично кажется, что для школьного сервера это как раз более
удачный дефолт, чем 700.  Если в конкретном месте это не так --
перенастройте.  Если же во многих местах окажется нужным
перенастроить -- вот тогда имеет смысл поднимать вопрос
об изменении этого дефолта для этого дистрибутива.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Подробная информация о списке рассылки Sysadmins