= Сообщение: 1106 из 5336 ========================================= RU.HUSKY = От : Alexey Vissarionov 2:5020/545 26 May 15 17:14:44 Кому : Vladislav Vetrov 26 May 15 17:14:44 Тема : Зачем HUSKY пользователь fido? FGHI : area://RU.HUSKY?msgid=2:5020/545+55647fd7 На : area://RU.HUSKY?msgid=2:5020/2140.152@Fidonet.org+55643259 = Кодировка сообщения определена как: CP866 ================================== ============================================================================== Доброго времени суток, Vladislav! 26 May 2015 11:42:36, ты -> мне:
VV>>>>> У меня есть только одно оправдание - повысить безопасность VV>>>>> сервера, на котором работает нода. Других причин я не вижу. AV>>>> Создание такого пользователя само по себе никак не влияет на AV>>>> безопасность. VV>>> Если hpt принадлежит root'у, то повысив привелегии процесса можно VV>>> получить root'овский доступ. AV>> Да ну? VV> Да ну, да ну... Ты на вопрос отвечай, а не задавай.
Так где вопрос-то? Вижу только в сабже, но на него я уже давно ответил.
PG>>> Глобальная концепция (как я её понимаю) тут в идеале должна быть PG>>> такая. Всё (binkd, hpt) работает от пользователя fido, VV> 1) AV>> Hе обязательно: пользователь (и группа) может быть любым - главное, AV>> чтобы все компоненты (мейлер, тоссер, редактор) каждой фидошной AV>> системы (а их на одном сервере может быть более одной) работали под AV>> этим пользователем (и группой). VV> 2) AV>> Права на все исполняемые файлы эхотага обязательно должны быть 0755. VV> Чё-то не понял... а зачем? Зачем всем компонентам нужно работать под VV> одним каким-то пользователем, если права на все исполняемые файлы 755?
Представь себе сервер, на котором есть пользователи av и vv, каждый из которых желает использовать фидошный софт. Для того, чтобы это было возможно, им нужно (1) иметь возможность запускать /usr/bin/{binkd,hpt,golded} и (2) делать это таким образом, чтобы означенные софтины работали с файлами в каталогах ~av/ и ~vv/ соответственно.
А из этого следует, что ни про какие S{U,G}ID на /usr/bin/{binkd,hpt,golded} речь идти в принципе не может.
VV> Кто запустил (последняя пятёрка), того и права и у каждого своя база VV> сообщений и свои конфиги в его домашней директории.
Именно так. И никаких S{U,G}ID.
-- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Если нет слов - не утруждай себя написанием букв --- /bin/vi * Origin: http://openwall.com/Owl/ru (2:5020/545)
