>> Да, неограниченный root, suid/sgid и /tmp -- три больных места UNIX.
>общий каталог /tmp сейчас защищается с помощью sticky bit. этого разве не
>достаточно? если бы там были действительно серьезные проблемы из-за общего /tmp,
>в большинстве дистрибутивов уже давным давно бы реализовали отдельные /tmp для
>каждого пользователя. Дело не только в том, что общий, а и в том, что known world writable.
>> в post-UNIX под названием Linux
>для того, чтобы ядро Linux могло называться "post-UNIX"
>1) в нем должны быть реализованы все возможности UNIX. ( POSIX, etc
>)
>2) должны быть какие-то уникальные особенности, которые позволяют выделить
>ядро Linux в отдельный подкласс внутри класса UNIX-like операционных систем.
>первое - скорее всего да. второе - нет. не вижу никаких уникальных
>особенностей.
Технически -- та же виртуализация как "мерж" майнфреймовых фич. Про Solaris Zones знаю, и мне кажется, что OpenSolaris -- второй кандидат на ту же бирку. Особенно если и с процессом разберутся.
>при класификации принимается во внимание сам результат, а не способ его достижения.
Под UNIX я имел в виду в т.ч. субкультуру. Под Linux -- тоже, включая и способы.
>факт в том, что архитекторы WinNT изначально отказались от SUID/SGID при разработке
>WinNT, учитывая опыт использования и проблемы, какие были с этой фичей в
>системах UNIX.
Ещё один факт -- что теперь к эквиваленту вернулись.
[знаю]
>> Простые вещи должны и делаться просто.
>...а сложные вещи должны быть доступны?
>только вот сейчас Perl5 везде постепенно уступает свое место Python`у.
Ну так вот сходу не наблюдаю, скорее нового больше делается на питоне. Это чуть другой тип замещения.
>если действительно нужно обеспечить высокий уровень безопасности - пользуются SELinux.
Зависит.
>>http://wiki.sisyphus.ru/devel/control
>su - это сокращение от "swith user" а не "superuser".
Хех. Если Вы про описание
wheel: Any user can execute /bin/su, but only "wheel" group members can switch to superuser
-- то там всё именно так и задумано/работает, как описано:
user1$ groups | grep -q wheel && echo wheel
wheel
user1$ /usr/sbin/control su
wheelonly
user1$ su -
Password:
root#
user2$ groups | grep -q wheel && echo wheel
user2$
user2$ su -
Password:
su: Permission denied
user2$ _