= Сообщение: 1104 из 5336 ========================================= RU.HUSKY = От : Pavel Gulchouck 2:463/68 26 May 15 11:51:06 Кому : Alexey Vissarionov 26 May 15 11:51:06 Тема : Зачем HUSKY пользователь fido? FGHI : area://RU.HUSKY?msgid=2:463/68+55643939 На : area://RU.HUSKY?msgid=2:5020/545+55642401 = Кодировка сообщения определена как: CP866 ================================== ============================================================================== Hi Alexey!
26 May 15, Alexey Vissarionov ==> Pavel Gulchouck:
PG>> Но, кстати, даже при наличии специального фидошного пользователя PG>> владельцем бинарников (а возможно, и некоторых конфигов, которые PG>> изменять должен только человек)
AV> И много ли ты можешь назвать таких конфигов?
Большинство. Собственно, все за исключением частей fidoconfig, в которых описаны линки, эхи и файлэхи. Незачем служебному фидошному пользователю иметь права изменять конфиг binkd, роутинг, правила трекинга netmail и всё прочее.
PG>> лучше оставить рута. То есть, root:fido 0640, чтобы user fido мог PG>> их читать, но не мог изменять.
AV> Излишне. Равно как и 0750 на бинарники.
Запрет чтения/запуска бинарников действительно практически ничего для безопасности не даёт (за редкими исключениями). А вот запрет модификации - это другое. Это действительно усложняет задачу злоумышленнику. В частности, хакеру сложнее вывести из строя систему (и, тем более, остаться незамеченным), в которой / и /usr смонтированы как read-only. Совершенно естественно, что пользователь httpd не имеет полномочий менять конфиг http-сервера, пользователь ntp не может изменить ntp.conf и т.д. Аналогично, пользователю fido незачем давать полномочия менять фидошные конфиги, если это не требуется в технологии.
� Lucky carrier, � Паша � aka gul@gul.kiev.ua --- GoldED+/LNX 1.1.5 * Origin: printf("%s", "How can I increase performance?\n"); (2:463/68)
