= Сообщение: 1105 из 5339 ========================================= RU.HUSKY = От : Pavel Gulchouck 2:463/68 26 May 15 12:14:20 Кому : Vladislav Vetrov 26 May 15 12:14:20 Тема : Зачем HUSKY пользователь fido? FGHI : area://RU.HUSKY?msgid=2:463/68+55643dd3 На : area://RU.HUSKY?msgid=2:5020/2140.152@Fidonet.org+556431dc = Кодировка сообщения определена как: CP866 ================================== ============================================================================== Hi Vladislav!
26 May 15, Vladislav Vetrov ==> Pavel Gulchouck:
PG>> Отдельный пользователь для фидо (как и для http, ftp, ntp и прочих сервисов) PG>> нужен, если сервис работает от этого пользователя. В таком случае PG>> злоумышленник через этот сервис может получить доступ только к файлам этого PG>> сервиса и ни к каким другим, другие сервисы не поломаются и с информацией PG>> других пользователей ничего не случится. Это хорошая и правильная PG>> конфигурация в наиболее распространённом случае, когда в системе работает PG>> только одна фидошная станция, а её сисоп имеет рутовые права.
VV> Это понятно. По-моему так и надо делать.
PG>> Hо, кстати, даже при наличии специального фидошного пользователя владельцем PG>> бинарников (а возможно, и некоторых конфигов, которые изменять должен только PG>> человек) лучше оставить рута. То есть, root:fido 0640, чтобы user fido мог PG>> их читать, но не мог изменять.
VV> Вот это не понятно:
VV> 1. Зачем здесь root нужен сам по себе? VV> 2. Зачем root, когда известно, что в программе есть уязвимость?
"чтобы user fido мог их читать, но не мог изменять". Не знаю, как иначе ответить.
Полномочия - это свойство процесса, а не исполняемого файла. Если пользователь vasya запустил бинарник, принадлежащий руту, он не стал рутом (setuid - это редкое исключение). Владелец и права доступа исполняемого файла говорят не о том, какими полномочиями будет обладать этот процесс, будучи запущен, а о том, кто его может запустить, а кто нет. Как правило, исполняемые файлы доступны на выполнение всем, ведь запуск программы никак не меняет полномочия пользователя.
Владелец файла hpt - это не о тот, с чьими полномочиями будет выполняться тоссинг, а о тот, кто может менять этот бинарник. Как правило, бинарник меняется рутом (при установке/апдейте пакета), соответственно, и его владельцем логично быть руту.
� Lucky carrier, � Паша � aka gul@gul.kiev.ua --- GoldED+/LNX 1.1.5 * Origin: printf("%s", "How can I increase performance?\n"); (2:463/68)
