У нас много-много вирусов!

Майор Очевидность · 14-06-11 22:21:40

Linups_Troolvalds пишет:

Только с его правами в иксы нельзя.

таки можно, если поднапрячься smile

Linups_Troolvalds · 14-06-11 22:50:47

Майор Очевидность пишет:

таки можно, если поднапрячься

Если поднапрячься, то сдуру можно и...много что можно сломать.

Майор Очевидность · 14-06-11 23:14:24

Linups_Troolvalds,
я знал! я знал, что кто-нибудь это скажет!

kenzzzooo · 14-06-11 23:18:55

Linups_Troolvalds пишет:

Мне что, бегать за каждым хомяком и права ему урезать? По умолчанию это не сделано. А виндоюзеры чаще всего работают с настройками безопасности именно по умолчанию.

Linups_Troolvalds, Вы сейчас имеете ввиду корпоративную среду или домашнюю?

Linups_Troolvalds · 14-06-11 23:30:24

kenzzzooo пишет:

Вы сейчас имеете ввиду корпоративную среду или домашнюю?

Домашнюю.

mav · 15-06-11 00:20:45

Linups_Troolvalds пишет:

Мне что, бегать за каждым хомяком и права ему урезать?

Так ставьте линух, что тут думать-то?

Linups_Troolvalds · 15-06-11 04:17:54

mav пишет:

Так ставьте линух, что тут думать-то?

Что куда ставить – без вас разберемся.

Белая рысь · 15-06-11 08:52:43

Ниасиляторрр пишет:

Ещё со времён Windows Vista есть секретная учетная запись Администратора, который не является частью группы Администраторов, и которая, кроме прочего, позволяет производить в системе любые изменения без показа предупреждений UAC.

Не дезинформируйте плз.

C:\Users\lynx.lnote>net user Администратор
Имя пользователя                       Администратор
Полное имя
Комментарий                            Встроенная учетная запись администратора
компьютера/домена
Комментарий пользователя
Код страны                             000 (Стандартный системный)
Учетная запись активна                 No
Учетная запись просрочена              Никогда

Последний пароль задан                 14.07.2009 9:13:36
Действие пароля завершается            Никогда
Пароль допускает изменение             14.07.2009 9:13:36
Требуется пароль                       Yes
Пользователь может изменить пароль     Yes

Разрешенные рабочие станции            Все
Сценарий входа
Конфигурация пользователя
Основной каталог
Последний вход                         14.07.2009 9:08:59

Разрешенные часы входа                 Все

Членство в локальных группах           *Администраторы
Членство в глобальных группах          *None
Команда выполнена успешно.

И UAC там отключен - по умолчанию. Мне ничто не мешает его включить, да.

Apollo 11 пишет:

Так что всё с sudo правильно

Я и не спорю ж. smile Если им столько времени пользуются, значит, норм инструмент. smile Ну, а то, что моя религия к нему не лежит... Фломастеры разные, да.

Apollo 11 пишет:

А вот когда UAC заставляет лишний раз, не читая предупреждений, кликать "Ok", то лично я себя не раз ловил на том, что кликаешь уже на автомате

Если Вы, будучи админом, не читая, кнопаете Ок, кто ж Вам доктор?

Apollo 11 пишет:

В отличие от sudo, где пароль на автомате не введёшь

Вы не поверите. smile У меня половина знакомых вбивает пароль, не задумываясь. Один товарищ вколбашивает что-то 20-значное секунды за 2. Когда я у него спросил, помнит ли он то, что набирает, он завис ненадолго, потом неуверенно сказал, что помнит.

Linups_Troolvalds пишет:

Мне что, бегать за каждым хомяком и права ему урезать?

Нет, конечно, Вам бегать за каждым хомяком, чтобы запустить ему флешечку масяни с рабочего стола, который noexec. Вы, видимо, забыли, что в винде очень модны exe-оболочки для всяких флешовых игрушечек и прочая шняга, которой в никсах нету, потому что там нормальный бинарник с гуями под все никсы не соберёшь. А если говорить про корп-сектор - там этот самый noexec политиками замечательно разливается.

Linups_Troolvalds пишет:

По умолчанию это не сделано

Пичаль-тоска, а? Про умолчания я чуть раньше написал. Повторю на всякий. Из уст любителей кустомизации всего и вся сентенции про умолчания звучат как-то подозрительно по-тролльски. Вброшу навстречу: а вот в никсах по умолчанию noexec на домашнюю папку тоже не кладётся. xD Можете побегать за каждым хомяком, да.

Linups_Troolvalds пишет:

Красный свет немногим мешает перейти улицу, в отличие от забора

Можно, я не буду считать, сколько моих знакомых никсойдов в иксах под рутом сидят, хорошо? Как было правильно замечено, если дураку дать стеклянный $$$, он и его разобьёт, и руки порежет. А у вас там слабо, сидя под админом рутом, сделать вот так:

Under UAC, accounts in the local Administrators group have two access tokens, one with standard user privileges and one with administrator privileges. Because of UAC access token filtering, a script is normally run under the standard user token, unless it is run "as an Administrator" in elevated privilege mode. Not all scripts required administrative privileges.

(пруфлинк) и не париться с правами? Или только резаную доп запись заводить?

ikkunan salvataja · 15-06-11 09:56:42

Белая рысь пишет:

Можно, я не буду считать, сколько моих знакомых никсойдов в иксах под рутом сидят, хорошо?

А можно всё таки посчитать? А заодно сообщить какой дистрибутив они используют и как там удобно иксы под рутом запускать.

Rector · 15-06-11 10:03:22

ikkunan salvataja, это слакварщики наверно -))

wr224 · 15-06-11 10:04:02

Linups_Troolvalds пишет:

Мне что, бегать за каждым хомяком и права ему урезать?

Если сначала грамотно установить ос то бегать не придется, конечно если ты не альтернативно одарен, например как он:

И вот тебе от меня задачка альтернативный друх есть у тебя 2 группы в линухе одна linuxfrenics вторая linuxschools, как сделать чтобы у linuxfrenics был доступ только на чтение к файлу, а у linuxschools полный доступ средствами по-умолчанию

Rector · 15-06-11 10:13:07

wr224, опять пытаешься производственные вопросы решить? В виде бесплатного теста smile )

wr224 · 15-06-11 10:20:41

Rector пишет:

wr224, опять пытаешься производственные вопросы решить? В виде бесплатного теста )

Я знаю как такие вопросы решаются, через монтирование раздела с параметром "acl", только это не умолчательно, а тут один горлопан орал во все горло что линух по умолчанию ниипаца как круто

ikkunan salvataja · 15-06-11 10:23:27

wr224 пишет:

есть у тебя 2 группы в линухе одна linuxfrenics вторая linuxschools, как сделать чтобы у linuxfrenics был доступ только на чтение к файлу, а у linuxschools полный доступ средствами по-умолчанию

Шо, опять? Ну показывали же уже, и не единожды, даже ролик помнится выкладывался. RMB->Свойства->Вкладка "Права"->Кнопка "Дополнительные права"->Добавить->Именованная группа, ну а дальше уже конкретные пермишены правим.
Ты мне лучше скажи как в Божественной разрулить следующую ситуацию, есть пользователь user, имеющий полный доступ к каталогу A и не имеющий никакого доступа к каталогу B, однако к этому каталогу он может получить доступ используя программу app, пусть это будет хотя бы gimp, т.е. он может создать там любое новое изображение или редактировать существующее, но только при помощи этой программы, при этом сохранить созданное этой программой изображение в каталоге A он не сможет.

Добавлено спустя 02 мин 51 с:

wr224 пишет:

Я знаю как такие вопросы решаются, через монтирование раздела с параметром "acl", только это не умолчательно,

Зависит от выбранной файловой системы, на XFS оно умолчательно выставилось, на JFS думаю будет тоже самое.

wr224 · 15-06-11 10:29:22

ikkunan salvataja пишет:

есть пользователь user, имеющий полный доступ к каталогу A и не имеющий никакого доступа к каталогу B, однако к этому каталогу он может получить доступ используя программу app, пусть это будет хотя бы gimp, т.е. он может создать там любое новое изображение или редактировать существующее, но только при помощи этой программы, при этом сохранить созданное этой программой изображение в каталоге A он не сможет.

Бредовая ситуация, если апликуха запускается из-под этого же пользователя, то с чего вдруг ей получить доступ к запрещенному пользователю каталогу?

Rector · 15-06-11 10:30:24

wr224 пишет:

что линух по умолчанию ниипаца как круто

Это типа так? -))

wr224 · 15-06-11 10:30:36

ikkunan salvataja пишет:

Зависит от выбранной файловой системы, на XFS оно умолчательно выставилось, на JFS думаю будет тоже самое.

По-умолчанию сейчас на линухе идет ext3/ext4, насколько я знаю

Добавлено спустя 01 мин 38 с:

Rector пишет:

Это типа так? -))

Типа да, только самый нижний пункт будет работать только если диск примонтирован с параметром "acl"

ikkunan salvataja · 15-06-11 10:49:00

wr224 пишет:

если апликуха запускается из-под этого же пользователя,

Ну запускается из под этого пользователя это ещё не значит что с правами этого пользователя, к файлу с хэшами паролей вообще то только root имеет доступ, однако passwd прекрасно отрабатывает и от простого пользователя.

wr224 пишет:

По-умолчанию сейчас на линухе идет ext3/ext4, насколько я знаю

Если выбирается ручная разбивка то никаких умолчаний там вообще нет, тип файловой системы в явном виде запрашивается.

Белая рысь · 15-06-11 12:10:49

ikkunan salvataja пишет:

есть пользователь user, имеющий полный доступ к каталогу A и не имеющий никакого доступа к каталогу B, однако к этому каталогу он может получить доступ используя программу app, пусть это будет хотя бы gimp, т.е. он может создать там любое новое изображение или редактировать существующее, но только при помощи этой программы, при этом сохранить созданное этой программой изображение в каталоге A он не сможет.

Нуникуяжсебе задача... Аж прям-таки интересно стало, зачем ТАКОЙ изврат... Навскидку: создаём отдельного юзера с правами на b и без прав на a и используем для запуска gimp програмку admilink. А чтобы исходному юзеру ручки не чесались запустить гимп напрямую, запрещаем ему доступ в папку программы. Сойдёт? И как аналогичное сделать в никсах? Судо от другого юзера? big_smile

ikkunan salvataja пишет:

А можно всё таки посчитать?

У меня никсойдов знакомых всего 3 штуки (это если фряху за никс считать). Из них двое при мне под рутом сидели. Мандрива и фряха. На фряхе КДЕ. xD И не говорите, что это неадекват, сам знаю.

ikkunan salvataja · 15-06-11 12:28:03

Белая рысь пишет:

Аж прям-таки интересно стало, зачем ТАКОЙ изврат.

Ну например с некими данными можно работать только через определённую программу. Вполне реальная ситуация для всяких учётных софтин.

Белая рысь пишет:

И как аналогичное сделать в никсах? Судо от другого юзера?

В общем случае пойдёт, но в конкретной ситуации не годится, т.к. подразумевает знание пароля этого юзера и соответственно прямой доступ в его каталог. Делается по другому, владельцем запускаемого бинарника объявляется фейковый юзер B, которому обычный вход в систему запрещён, и на саму софтину ставим suid'ный бит. Всё штатными средствами, без сторонних утилит.

Белая рысь · 15-06-11 12:34:49

ikkunan salvataja пишет:

и на саму софтину ставим suid'ный бит

И софтина всегда для всех пользователей компа запускается от фейкового юзера? О.о Фак мой мозг. Таки моё решение гибче, в нём только один пользователь ущемляется. smile

elf · 15-06-11 12:35:30

Белая рысь пишет:

И как аналогичное сделать в никсах? Судо от другого юзера?

Про SUID бит, слышали? Вас как почитаешь, складывается ощущение, что с собой нужно постоянно иметь нефиговую пачку мокрых писек стороннего софта, чтобы винда более-менее сносно работала.

Белая рысь · 15-06-11 13:08:20

elf пишет:

Про SUID бит, слышали? Вас как почитаешь, складывается ощущение, что с собой нужно постоянно иметь нефиговую пачку мокрых писек стороннего софта, чтобы винда более-менее сносно работала.

М-м-м-м-м-м... Мокрые письки, говорите...

Любой дистр - набор мокрых писек на любой вкус, при чём, именно так они себя и позиционируют
Случайно в гугле наткнулся на мнение
"специально проверил — bash,csh и ksh игнорируют suid-bit в скриптах. и, по-моему, так они делают лет десять… собственно, сколько лет оригинальной статье?" Прокомментируете?
Это решение не работает при per-user подходе, как я и писал чуть выше

Гареев Станислав · 15-06-11 13:42:56

ikkunan salvataja пишет:

однако passwd прекрасно отрабатывает и от простого пользователя.

что то у меня не открыло в текстовом редакторе.

Белая рысь пишет:

bash,csh и ksh игнорируют suid-bit в скриптах. и, по-моему, так они делают лет десять…

Это как бы так и должно быть. Кроме -sud бита существует ещё -x бит.

elf · 15-06-11 13:51:05

Белая рысь пишет:

Любой дистр - набор мокрых писек на любой вкус, при чём, именно так они себя и позиционируют

Вообще-то нет.

Белая рысь пишет:

Случайно в гугле наткнулся на мнение
"специально проверил — bash,csh и ksh игнорируют suid-bit в скриптах. и, по-моему, так они делают лет десять… собственно, сколько лет оригинальной статье?" Прокомментируете?

Запросто. Вы бинарник от скрипта отличаете?

Белая рысь пишет:

Это решение не работает при per-user подходе, как я и писал чуть выше

В задаче об этом упоминания не было. smile

Форум StopLinux

Объявление

#51 14-06-11 22:21:40

Re: У нас много-много вирусов!

#52 14-06-11 22:50:47

Re: У нас много-много вирусов!

#53 14-06-11 23:14:24

Re: У нас много-много вирусов!

#54 14-06-11 23:18:55

Re: У нас много-много вирусов!

#55 14-06-11 23:30:24

Re: У нас много-много вирусов!

#56 15-06-11 00:20:45

Re: У нас много-много вирусов!

#57 15-06-11 04:17:54

Re: У нас много-много вирусов!

#58 15-06-11 08:52:43

Re: У нас много-много вирусов!

#59 15-06-11 09:56:42

Re: У нас много-много вирусов!

#60 15-06-11 10:03:22

Re: У нас много-много вирусов!

#61 15-06-11 10:04:02

Re: У нас много-много вирусов!

#62 15-06-11 10:13:07

Re: У нас много-много вирусов!

#63 15-06-11 10:20:41

Re: У нас много-много вирусов!

#64 15-06-11 10:23:27

Re: У нас много-много вирусов!

#65 15-06-11 10:29:22

Re: У нас много-много вирусов!

#66 15-06-11 10:30:24

Re: У нас много-много вирусов!

#67 15-06-11 10:30:36

Re: У нас много-много вирусов!

#68 15-06-11 10:49:00

Re: У нас много-много вирусов!

#69 15-06-11 12:10:49

Re: У нас много-много вирусов!

#70 15-06-11 12:28:03

Re: У нас много-много вирусов!

#71 15-06-11 12:34:49

Re: У нас много-много вирусов!

#72 15-06-11 12:35:30

Re: У нас много-много вирусов!

#73 15-06-11 13:08:20

Re: У нас много-много вирусов!

#74 15-06-11 13:42:56

Re: У нас много-много вирусов!

#75 15-06-11 13:51:05

Re: У нас много-много вирусов!

Подвал форума