26 May 15, Vladislav Vetrov ==> Alexey Vissarionov:
VV>>> У меня есть только одно оправдание - повысить безопасность сервера, VV>>> на котором работает нода. Других причин я не вижу.
AV>> Создание такого пользователя само по себе никак не влияет на безопасность.
VV> Если hpt принадлежит root'у, то повысив привелегии процесса можно получить root'овский доступ. А если принадлежит VV> fido-usrer'у, то только доступ на уровне этого пользователя. Поэтому вопрос - почему "создание такого пользователя само по VV> себе не влияет на безопасность"?
"Повысив привилегии процесса" - это добавить ему suid, что ли? Это сделать не проще, чем изменить владельца. Рутовых бинарников в системе тысячи - бери любой, "повышай привилегии" и получай рута. :-]
Отдельный пользователь для фидо (как и для http, ftp, ntp и прочих сервисов) нужен, если сервис работает от этого пользователя. В таком случае злоумышленник через этот сервис может получить доступ только к файлам этого сервиса и ни к каким другим, другие сервисы не поломаются и с информацией других пользователей ничего не случится. Это хорошая и правильная конфигурация в наиболее распространённом случае, когда в системе работает только одна фидошная станция, а её сисоп имеет рутовые права.
Но, кстати, даже при наличии специального фидошного пользователя владельцем бинарников (а возможно, и некоторых конфигов, которые изменять должен только человек) лучше оставить рута. То есть, root:fido 0640, чтобы user fido мог их читать, но не мог изменять.
� Lucky carrier, � Паша � aka gul@gul.kiev.ua --- GoldED+/LNX 1.1.5 * Origin: printf("%s", "How can I increase performance?\n"); (2:463/68)
