https://slinkov.ru/openforum/vsluhforumID3/100066.html На заседании комитета FESCo (Fedora Engineering Steering Committee), отвечающего за техническую часть разработки дистрибутива Fedora Linux, рассмотрено (https://lists.fedoraproject.org/pipermail/devel/2014-November/204250.html) предложение (https://fedorahosted.org/fpc/ticket/467) по введению требований по обязательной доступности на чтение всех файлов и директорий иерархии /usr. В качестве причины введения общей доступности на чтение всех файлов /usr, называется необходимость полного доступа к содержимому /usr при построении изолированных контейнеров с использованием непривилегированных процессов (контейнер и утилиты сопровождения должны иметь доступ ко всем данным /usr без необходимости получения прав root).<br><br><br><br>Кроме того, предлагается распространять все файлы пакетов, не связанные с конфигурацией и изменяемыми в процессе работы данными, под пользователем и группой root с возможностью записи только пользователем root. Исключения, позволяющие распространение от других групп и пользователей, может быть пре https://slinkov.ru/openforum/vsluhforumID3/100066.html#62 Mon, 17 Nov 2014 13:37:49 GMT &gt; Полный список файлов на которые федорковци хотят изменить права: <br>&gt; find /usr/ -type f -perm /u+r,g+r ! -perm /o+r -exec ls -lg <br>&gt; {} \; <br><br># find /usr/ -type f -perm /u+r,g+r ! -perm /o+r -exec ls -lg {} \;<br>-rwx------ 1 root 26992 апр 2 2012 /usr/lib/cups/backend/cups-pdf<br>#<br><br>ПАНИКА! ПАНИКА!!!<br><br>&gt; Кроме выше сказаного с супербит сие также разрешит всем запускать игрушки, по <br>&gt; умолчанию игрушки можно запускать только пользователям с групы games.<br>&gt; Возможно пробьёт ещё пару дыр в безопасности.<br><br>"рассмотрено предложение по введению требований по обязательной доступности [b]на чтение[/b] всех файлов и директорий иерархии /usr"<br>с каких пор доступ на чтение разрешает запуск?<br> https://slinkov.ru/openforum/vsluhforumID3/100066.html#61 Mon, 17 Nov 2014 13:33:26 GMT &gt; Какие права поставлят, например, на файл:<br>&gt; $ ls -l /usr/bin/gpasswd<br>&gt; -rws--x--x 1 root root 79200 мая 31 18:07 /usr/bin/gpasswd<br><br>а чо, какая проблема? у меня в дебиан:<br>-rwsr-xr-x 1 root 68024 май 26 2012 /usr/bin/gpasswd<br><br>по умолчанию доступен на чтение...<br><br>даже если нет, ЧТО такого секретного хранится в бинарнике /usr/bin/gpasswd, что это нужно скрыть от простого юзера?<br> https://slinkov.ru/openforum/vsluhforumID3/100066.html#60 Mon, 17 Nov 2014 08:33:17 GMT &gt; по умолчанию игрушки можно запускать только пользователям с групы games<br><br>Насколько я знаю, это только в генте так.<br> https://slinkov.ru/openforum/vsluhforumID3/100066.html#59 Mon, 17 Nov 2014 02:27:32 GMT &gt; сиди выпиливай ее из /var чтобы myisam не помер когда что-то в логи нагадит, сколько лет уже юниксу, а они все костыли лепят.<br><br>Собсно, /var - единственное место, куда логично по умолчанию впихнуть штуки, вроде почты, логов, БД, кешей проксей, не зная ничего о предпочтениях юзеров относительно партиций. И первое, что должен сделать админ после установки соотв. софта - это перенести большегрузные каталоги в сухое теплое темное место. А дальше уже по вкусу - либо поправить пути в конфигах, либо сделать линки с нового места на старое.<br> https://slinkov.ru/openforum/vsluhforumID3/100066.html#58 Sun, 16 Nov 2014 21:57:16 GMT Костылище, и ротация логов которая демоны перезапускает костылище, кому если не федоре ака редхату подсилу перепачить всяких зверьков аля tftpd чтобы они работали через syslog, а не писали тупо в файл. Тем более, что они и так весьма основательно патчат сорцы перед компиляцией и формированием rpm. Унифицировать демонов, и не понадобится всяких системд, но конечно прикрутить костыль проще.<br><br>На прошлой недели обновлял центос c 6.5 до 6.6, и чтобы вы думали - yum - питон - ошибка сегментации памяти, какая прелесть, кстате именно коредампы питона и засрали /var раздел, логи конечно тоже, но тем не менее шел 21 век.<br><br><br> https://slinkov.ru/openforum/vsluhforumID3/100066.html#56 Sun, 16 Nov 2014 19:28:21 GMT &gt; Alt Linux навсегда: <br><br>Не, ничто не вечно под луною.<br><br>&gt; # hddtemp /dev/sda <br>&gt; bash: hddtemp: команда не найдена <br><br>Вы привыкли к кривому нестандартному su, в альте соответствующее стандартам (и в силу того, что все действительно не в ногу -- это частый камень преткновения): http://altlinux.org/su<br><br>Сравните выхлоп [CODE]su -c 'echo $PATH'[/CODE] и [CODE]su - -c 'echo $PATH'[/CODE]<br><br>&gt; # /usr/sbin/hddtemp /dev/sda <br>&gt; ВНИМАНИЕ: Диск /dev/sda не включен в базу данных поддерживаемых приводов.<br><br>Мы её достаточно долго пополняли автономно (и слали патчи в апстрим), но проект уже несколько лет как по факту не принимает патчи, а это предупреждение можно пропустить мимо ушей; если хотите, почитайте документацию в пакете и пришлите данные/повесте в альт багу, сделаю. [I]PS: http://bugzilla.altlinux.org/hddtemp [/I]<br><br>Впрочем, с таким предлагаю пойти в какую-нить тему про альт, чтоб не спамить коллегам в теме про федору. Например, сюда: http://www.opennet.ru/opennews/art.shtml?num=40834 (спасибо за напоминание https://slinkov.ru/openforum/vsluhforumID3/100066.html#55 Sun, 16 Nov 2014 19:10:05 GMT &gt; То есть вопрос с переходом на systemd решён?<br><br>То есть можно применять и то, и то. По части systemd есть ряд проблем, решённых в федоре, и нету ряда проблем, добавленных там (вроде оторванных ethX); по части sysvinit главным камнем преткновения остаётся polkit, если не нужен или не жалко порезать ему аутентификацию, как описано -- работает себе, а так sem@ посматривает на systemd-shim и предыдущие подходы к снаряду.<br><br>PS: часть официальных сборок делается с sysvinit: altlinux.org/starterkits#livecd -- достаточно несложно делать такие и с TDE/E17, т.к. эти среды довольно сильно автономны.<br> https://slinkov.ru/openforum/vsluhforumID3/100066.html#53 Sun, 16 Nov 2014 16:25:14 GMT &gt; ... по умолчанию игрушки можно запускать только пользователям с групы games.<br>&gt; <br>&gt; Возможно пробьёт ещё пару дыр в безопасности.<br><br>то есть теперь игрушки смогут запускать все кто хотят? вот это дырень!<br><br>(сарказм:))<br> https://slinkov.ru/openforum/vsluhforumID3/100066.html#52 Sun, 16 Nov 2014 13:44:11 GMT &gt; Alt Linux навсегда: <br>&gt; # hddtemp /dev/sda <br>&gt; bash: hddtemp: команда не найдена <br>&gt; # /usr/sbin/<br><br>1. Курить доки по UNIX на тему /sbin и /usr/sbin и почему не рекомендуется включать их в PATH <br>2. Имея рута, ныть на эту тему могут только последние лошопеды. <br>