Всем привет!
Ставил сабж по местному HOWTO.
Запускаться не хочет. В логе пишет что не может прибиндить девайс /dev/mysql - пермишн денайд. Че ему надо сделать?
(похоже на разговор сумасшедшего - сам с собой :)Хм... интересно. Указал путь к обычному каталогу в my.cnf - все работает. А в /dev/mysql не хочет создавать. Поставил всем бинарникам хозяина root, а ему пофиг.
>(похоже на разговор сумасшедшего - сам
>с собой :)
>работает. А в /dev/mysql не
>хочет создавать.что создавать? сокет? или я что-то в жиздгни пропустил и теперь у него major и minor номера свои появились?
может, в devfs дело?> Поставил всем бинарникам
>хозяина root, а ему пофиг.
>
>(похоже на разговор сумасшедшего - сам
>с собой :)
>
>Хм... интересно. Указал путь к обычному
>каталогу в my.cnf - все
>работает. А в /dev/mysql не
>хочет создавать. Поставил всем бинарникам
>хозяина root, а ему пофиг.
>переработал! видимо сокеты имеются ввиду!?
# The MySQL server
[mysqld]
port = 3306
socket = /tmp/mysql.sockили /var/tmp/mysql.sock
>переработал! видимо сокеты имеются ввиду!?
>
># The MySQL server
>[mysqld]
>port
>
> = 3306
>socket
> =
>/tmp/mysql.sock
>
>или /var/tmp/mysql.sock
Ну я по типу этого и сделал. А все таки, по дефолту сокет в /dev/mysql не просто так же. Как его туда запихать?
Не полезут ли глюки, когда через перловку к базе полезу, Например, когда без указания адреса коннектишься?
>Не полезут ли глюки, когда через
>перловку к базе полезу, Например,
>когда без указания адреса коннектишься?
>
Ну вот, пожалуйста.
#!/usr/bin/perl -w
$dbh = Mysql->connect("","test");выдает ошибку - "не могу поднять ногу посредством локального сокета" и тычет мне, что нет такого /dev/mysql...
хе! насмешил... я и сам знаю что его нет.Господа! Ну что сделать то, чтоб mysql сокет создавал в /dev ???
охота тебе этот /dev. вот смотри из man DBD::mysql :
===
mysql_socket
As of MySQL 3.21.15, it is possible to choose
the Unix socket that is used for connecting to
the server. This is done, for example, withmysql_socket=/dev/mysql
Usually there's no need for this option,
unless you are using another location for the
socket than that built into the client.
===вот и всё.
>Господа! Ну что сделать то, чтоб
>mysql сокет создавал в /dev
>???
>охота тебе этот /dev. вот смотри
>из man DBD::mysql :
[skip]да знаем, знаем мы этот перл... даже намного лучьше чем линух... иначе проблема была бы сформулирована по-другому.
Ну-с... Значит человеков, победивших этот вопрос здесь не нашлось? ;)
В общем, победил я это дело:safe_mysql --user=root &
Это, случайно, не чревато нежелательными последствиями?
ЗЫ. Что за ошибка 111? Не коннектятся ни mysql ни mysqladmin, хотя через перл доступ к бд есть.
>В общем, победил я это дело:
>
>
>safe_mysql --user=root &
>
>Это, случайно, не чревато нежелательными последствиями?
>
>
>ЗЫ. Что за ошибка 111? Не
>коннектятся ни mysql ни mysqladmin,
>хотя через перл доступ к
>бд есть.случайно чревато security
--user=mysql (предвариательно заводишь user'а)
по-поводу perl'а - кто запрещает пересобрать
модули perl'а с /tmp/mysql - посмотреть откуда-то он берет defaultтеперь по-поводу не может создать сокет в /dev,
а в случае --user=root может - ну посмотриls -la /tmp
и
ls -la /devкакие там chmod и все встанет на свои места, вот
почему /tmp или /var/tmp и --user=usernamesorry, мб и в my.cnf можно указать верные default
- не помню уже ничего, да и не базист я :(
>случайно чревато security
Читали, читали... "suid - потенциальная дыра в безопасности!!!". А поконкретнее примеры можно?Представим ситуацию... Я ухожу на повышение к ISP :) а там... Там хостинг и... куча юзеров, которых не интересует, почему, например, по умолчанию DBI коннектится к /dev/mysql. И если кто нить соберется ставить модули персонально... их это то же не интересует. Сомневаюсь что, ответ - "пересоберите модуль" будет юзеру приятен (мало того, он так же малоприятен и админу, т.к. тем же юзерам придется добавлять кучу дополнительных возможностей, хотя бы тот же телнет). Так что, неправильно, в данной ситуации, я и сам сделал, а вот как положено... сие еще одна загадка бытия :)
>>случайно чревато security
>Читали, читали... "suid - потенциальная дыра
>в безопасности!!!". А поконкретнее примеры
>можно?
>
>Представим ситуацию... Я ухожу на повышение
>к ISP :) а там...
>Там хостинг и... куча юзеров,
>которых не интересует, почему, например,
>по умолчанию DBI коннектится к
>/dev/mysql. И если кто нить
>соберется ставить модули персонально... их
>это то же не интересует.
>Сомневаюсь что, ответ - "пересоберите
>модуль" будет юзеру приятен (мало
>того, он так же малоприятен
>и админу, т.к. тем же
>юзерам придется добавлять кучу дополнительных
>возможностей, хотя бы тот же
>телнет). Так что, неправильно, в
>данной ситуации, я и сам
>сделал, а вот как положено...
>сие еще одна загадка бытия
>:)полная ерунда:
1) весь контроль системы у администратора
2) исходя из 1) администратор собирает ВСЕ так как
надо и с учетом требований пользователя, если последние не противоречат безопасности, правильности понимания системы и остальной логике3) известное правило - ряд продуктов, администратор собирает исключительно сам с учетом
системы, правильности default'ов и security,
минимальный набор:- openssl/openssh
- named
- httpd
- ftpd
- shells
- второй perl в /usr/local/bin/perl и со всеми
нужными модулями в /usr/local/lib/perl4) ISP или еще что, щаз-з - пользователи будут
свои модули ставить или использоваться как им вздумается - только после обсуждения и только
так как правильно.PS. В ISP практически все sysadms & security собирают сами (из опыта)
5) как правильно - было написано выше и уж никак
не запуск mysqld --user=root
и размещением соектов в /devdrwxr-xr-x 4 root wheel 15872 4 mar 20:39 dev
drwxrwxrwt 37 root wheel 5120 13 mar 13:59 tmpразница видна без лупы:
755 и 1777
Вопрос: сколько здесь народа запускает небезопасные сервисы под root'ом и позволяет захламлять систему пользователям?
PS. Свобода != Анархия (как это вопринимают или об этом думает большинство в нашей стране)
Я вот всего пару месяцев как пытаюсь с линухом знакомиться... У меня такое ощущение, что большинство юниксоидов - маньяки (ИМХО) :)>4) ISP или еще что, щаз-з
>- пользователи будут
>свои модули ставить или использоваться как
>им вздумается - только после
>обсуждения и только
>так как правильно.
Имея только FTP аккаунт легко можно поставить любой перловый модуль и юзать его из своего домашнего каталога. Кто это запретит и чем это более опасно нежели пользовательские cgi?>PS. В ISP практически все sysadms
>& security собирают сами (из
>опыта)
А где его взять, этот опыт, если большинство ответов это "читай man" (хотя не все маны одинаково полезны:) или>разница видна без лупы:
>
>755 и 1777анализируя вышепоскипанное я так думаю, что все-таки размещать сокет в /dev безопаснее. Представим ситуацию, некий процесс, запущенный не-рутом, эмулирует работу демона mysql создав сокет в /tmp, т.к. туда всем дорога открыта. Далее, придумайте сами... вариантов множество.
Может быть мои доводы смешны и насквозь пропитаны видовозным мировосприятием? Ну тогда откройте мне глаза, покажите истину ;)
ну вы ребята и гонщики! да не нужно же пересобирать перловый модуль, надо просто указать опцию в dsn при $dbh->connect. на пустом месте-то зачем разводить разговор про "X-suxx, a Y-ruilazz"?и потОм, когда я пользовался линуксом 2 месяца, я пошёл работать в ISP. Юзеров саппортил, в основном чайников, хотя бывали и не очень. Ну мало этого опыта, чтобы хостинг саппортить, выход только один - смириться и не отступать. Всё.
>Я вот всего пару месяцев как
>пытаюсь с линухом знакомиться... У
>меня такое ощущение, что большинство
>юниксоидов - маньяки (ИМХО) :)
>
>
>>4) ISP или еще что, щаз-з
>>- пользователи будут
>>свои модули ставить или использоваться как
>>им вздумается - только после
>>обсуждения и только
>>так как правильно.
>Имея только FTP аккаунт легко можно
>поставить любой перловый модуль и
>юзать его из своего домашнего
>каталога. Кто это запретит и
>чем это более опасно нежели
>пользовательские cgi?хорош пургу гнать, как настроешь httpd.conf
так и будет работать>>PS. В ISP практически все sysadms
>>& security собирают сами (из
>>опыта)
>А где его взять, этот опыт,
>если большинство ответов это "читай
>man" (хотя не все маны
>одинаково полезны:) иливсе маны полезны
где взять опыт - на работе, дома, на курсах, ну
или можно ни хрена не делать и уповать ТОЛЬКО на
то что какой-то добрячок будет нянькаться и запихивать в ротик. Книги есть - дорогие, но есть.никто НЕ ОБЯЗАН отвечать, принцип простой:
имеешь полное право спросить, получишь ли ответ
- сАвсем не обязательно, к тому же ответ зависит от вопроса и его постановки.>>разница видна без лупы:
>>
>>755 и 1777
>
>анализируя вышепоскипанное я так думаю,
>что все-таки размещать сокет в
>/dev безопаснее. Представим ситуацию, некий
>процесс, запущенный не-рутом, эмулирует работу
>демона mysql создав сокет в
>/tmp, т.к. туда всем дорога
>открыта. Далее, придумайте сами... вариантов
>множество.некий дядя решил перейти шоссе во время движения,
на его несчастье - поблизости не было сотрудника милиции, дядю сбили.как говаривал мой учитель, системщик от программера отличается следующим:
разбор двух событий A и B:
if A
...
else if B
...системщик:
switch (событие) {
case 'A':
...
case 'B':
...
default:
}кто запрещает проверить перед запуском наличие
сокета и процесса и сделать вывод, запущен демон,
если нет - удалить сокет?>Может быть мои доводы смешны и
>насквозь пропитаны видовозным мировосприятием? Ну
>тогда откройте мне глаза, покажите
>истину ;)зрячий - увидит, слышащий - услышит.
Дискуссия плавно переходит во флейм :(>хорош пургу гнать, как настроешь httpd.conf
>так и будет работать
ОК. Покажи практический пример запрета загрузки перловых модулей из любой директории (естессно при соответствующих пермишенах) при ExecCGI на, к примеру, cgi-bin директорию.[куча скипов]. Флеймить каждый имеет право... я не спорю.
Однако... До сих пор не вижу ни одного аргумента за то, что использовать /dev/mysql - негативно для безопасности. Больше фактов. плз.
>Дискуссия плавно переходит во флейм :(
>неужели? перечитай please весь тред, потом
ткни меня носом где я прогнал пургу.если надо заткнуться, достаточно написать:
lavr молчать. ничего сложного.
>>хорош пургу гнать, как настроешь httpd.conf
>>так и будет работать
>ОК. Покажи практический пример запрета загрузки
>перловых модулей из любой директории
>(естессно при соответствующих пермишенах) при
>ExecCGI на, к примеру, cgi-bin
>директорию.если подразумевается универсальный - его нет у меня, конкретному пользователю - да.
Дополнительную технологию - да.
AllowOverride для htacces, cgi-bin - у пользователя чтобы только там лежали, на остальные
директории только то что можно, индексы, еще что ему нужно и можно: Options.если имеется ввиду использование модулей у пользователей в его личном cgi-bin отсутствующих в системе - сделать проверку что
там у пользователей - не вижу проблем, поиск и
сравнение - расходится с системным или отсутствует
в системе - на вид. это имелось ввиду?
подобное было сделано на одной из машин в jinr
в моем sun-cluster'е чтобы не баловались почтой через www и запретить спам через этот идиотизм
если же нет хостинга - вовсе запретить выполнение, вообще думать не надо.>[куча скипов]. Флеймить каждый имеет право...
>я не спорю.ну и в чем там флейм? в том что администратор не должен блюсти порядок и не имеет рычагов или должен все делать как заблагорассудиться пользователям? ну? хоть один пример - если есть,
напишу что умылся.>Однако... До сих пор не вижу
>ни одного аргумента за то,
>что использовать /dev/mysql - негативно
>для безопасности. Больше фактов. плз.
>где это я конкретно сказал что /dev/mysql небезопасно? не гуд - да, почему бы и весь остальной хлам не запхать в /dev?
или нужно в школу отправлять на литературу?:
<quote>
>safe_mysql --user=root &
>
>Это, случайно, не чревато нежелательными последствиями?
>
>
>ЗЫ. Что за ошибка 111? Не
>коннектятся ни mysql ни mysqladmin,
>хотя через перл доступ к
>бд есть.случайно чревато security
--user=mysql (предвариательно заводишь user'а)
</quote>разница видна?
мб мне в Solaris,HP-UX,DG-UX понапихать кучу дряни
туда где ей не место?или спич вылился не в возможности и принципы работы администратора? если стиль изложения кому-то не нравится, так здесь не институт благородных девиц, а я не Л.Толстой, за редким
исключением (linux) пишу без эмоций и стиль свой менять не собираюсь, не в детском саду.
>все маны полезны
>где взять опыт - на работе,
>дома, на курсах, ну
>или можно ни хрена не делать
>и уповать ТОЛЬКО на
>то что какой-то добрячок будет нянькаться
>и запихивать в ротик.
Это ты себя имел в виду? Че ж ты такой добрячок, раньше мне не подсказал, про --user=root?>никто НЕ ОБЯЗАН отвечать, принцип простой:
Не можешь ответить по теме, желательно вообще ничего не писать. А если ты хочешь посоревноваться в этих, нижеследующих>разбор двух событий A и B:
>if A
> ...
>else if B
> ...
>
>системщик:
>
>switch (событие) {
>
> case 'A':
> ...
> case 'B':
> ...
> default:
>}То милости прошу, на личную. email я не прячу. А пальцы раздвигать все умеют.
>кто запрещает проверить перед запуском наличие
>сокета и процесса и сделать вывод,
>запущен демон,
>если нет - удалить сокет?
Ну и что ты этим доказал. Что придется поднимать заднюю ногу, когда это совсем не нужно? Нафига мне что то проверять, если я точно знаю, что кроме рута никто этот сокет не создаст? Ну а если злоумышленнык получил доступ к системной записи... что ж, тут ничего вроде сделать уж нельзя. Вот если бы ты сказал, как он используя запуск mysql от рута мог бы получить эти привелегии, вот я бы тогда списобо тебе и сказал.
>>все маны полезны
>>где взять опыт - на работе,
>>дома, на курсах, ну
>>или можно ни хрена не делать
>>и уповать ТОЛЬКО на
>>то что какой-то добрячок будет нянькаться
>>и запихивать в ротик.
>Это ты себя имел в виду?
>Че ж ты такой добрячок,
>раньше мне не подсказал, про
>--user=root?а мысли не прочитать на расстоянии что и как ты
делал?>>никто НЕ ОБЯЗАН отвечать, принцип простой:
>Не можешь ответить по теме, желательно
>вообще ничего не писать. А
>если ты хочешь посоревноваться в
>этих, нижеследующих
>
>>разбор двух событий A и B:
>>if A
>> ...
>>else if B
>> ...
>>
>>системщик:
>>
>>switch (событие) {
>>
>> case 'A':
>> ...
>> case 'B':
>> ...
>> default:
>>}
>
>То милости прошу, на личную. email
>я не прячу. А пальцы
>раздвигать все умеют.не смеши меня, многие обижались и приватно присылали письма с ругательствами и одновременно
просьбой помочь, практически никому не отказал.
а пальцы я могу как раздвигать, так и складывать,
еще могу шевелить ушами и двигать бровями, да много еще чего... ;)>>кто запрещает проверить перед запуском наличие
>>сокета и процесса и сделать вывод,
>>запущен демон,
>>если нет - удалить сокет?
>Ну и что ты этим доказал.
>Что придется поднимать заднюю ногу,
>когда это совсем не нужно?так не поднимай
>Нафига мне что то проверять,
>если я точно знаю, что
>кроме рута никто этот сокет
>не создаст? Ну а есликак и предполагалось, пример был правильный.
>злоумышленнык получил доступ к системной
>записи... что ж, тут ничего
>вроде сделать уж нельзя. Вот
>если бы ты сказал, как
>он используя запуск mysql от
>рута мог бы получить эти
>привелегии, вот я бы тогда
>списобо тебе и сказал.securityfocus.com, bugtraq, sans, cert, void.ru
для этого есть
и что мне с этого спасибо, если меня цистернами пива завалили :)
(надеюсь никто на меня не обидится за цитаты из писем, ни одного e-mail я не указываю)<quote>
В принципе мне все стало понятно, сделал - заработало (все таки дело было в
PAMе), но благодаря добрым человекам победил:)))
Спасибо.
Пиво за мной только как?
</quote><quote>
> Подошел пассвёрд, но эта фича работает только с консоли как они и
> писали. Ух, повезло, а то уже думал отсылать придется.
</quote><quote w/o headers>
Хочу выразить Вам свою огромную благодарность за Вашу статью по FreeBSD!
Сам я работаю в области полиграфии. Имею дело с платформами Mac/PC.Волею случая
(а точнее начальства) мне понадобилось в кротчайшие сроки поднять web-сервер наш
ей фирмы. Поскольку страшновато по понятным причинам размещать в сети сайт под
Win+IIS, решил выбирать из свододно-распространяемого ПО. Решил остановиться на
платформе FreeBSD как более профессиональной и солидной. И остался практически о
дин на один с системой. С большим трудом обнаружил Ваш сайт и был крайне обрадов
ан - получил полезной информации едва ли не более чем со всей freebsd.org!
Не знаю, поддерживаете ли Вы его в настоящее время. Но инфоромации по FReeBSD кр
айне мало, особенно для таких как я - FreeBSD для чайников.
В связи с этим позволю себе задать вопрос - не планируете ли Вы создать что-нибу
дь типа форума у себя на сайте. Что-нибудь типа ответов на вопросы?
Это было просто замечательно.
Еще раз большое спасибо за ценную информацию и доходчивое ее изложение :))
</quote>у меня таких вагон, как от чайников, так и от опытных юниксистов, данное тронуло меня больше
других "односложных спасибо", хоть и не заслуживают мои писульки этого.
>и что мне с этого спасибо,
>если меня цистернами пива завалили
>:)Ок! Все ясно. Понял я отчего ты часто заднюю ногу поднимаешь. Это все от пива. Святой ты наш.
Тема исчерпана. Всем спасибо за помощь!
Послушайте, сэр!
Ну что ж такое, Вы задали вопрос - и при этом
начинаете довольно хамовато себя вести.
Это не есть правильно и не в духе этого форума.
Реплики в сторону Lavra совершенно незаслужены.
За то, что Lavr тратит время на Вам подобных 2 месячных админов - ему стоит сказать спасибо,
а не упражняться в детском остроумии.
P.S. Читайте доки, и нервничать придется меньше...
ГЫ. Плавно перешли на эмоции... добро>Ну что ж такое, Вы задали
>вопрос - и при этом
>начинаете довольно хамовато себя вести.
>Это не есть правильно и не
>в духе этого форума.
Если это так, то приношу свои извенения.>Реплики в сторону Lavra совершенно незаслужены.
>За то, что Lavr тратит время
>на Вам подобных 2 месячных
>админов - ему стоит сказать
>спасибо,
>а не упражняться в детском остроумии.
>P.S. Читайте доки, и нервничать придется
>меньше...Хорошо, перечитайте первый и второй абзац вашего сообщения. В первом вы обвиняете меня, а во втором сами пытаетесь задеть мое самомнение. То что я с линухом 2 месяца, это не значит что я чайник. Между прочим (так немножно распальцуюсь, а то всем можно а мне нет?), я с компами с 96 года. И начинал когда никаких Интернетов в помине не было и не было у кого спрашивать. Так, вот, потихонечку с машинных кодов, сначала на спекки, потом асм на 286, потом 32-разряда, FPU, MMX, etc (да, да, Гука - от корки до корки)... Вместе с этим С++, оптимизации (Графики Dzen Абраша, Ла мотт - вот книги то были!!!), Потом винда, WinAPI, DDraw, DInput. Щас вот, Perl жалую шибко, SQL - без проблем, в довесок всякие HTML, жабы, бейсики, и еще куча всего не упомниш. + Атестован 1С (туфта, конечно, но приято). Теперь следующая категория, администрирование: стек TCP/IP, домены NT 40,2000 + AD, IIS, etc..., роутинг, мыло, шлюзы и т.д. Как? Достаточно что бы ВЫ Сэр, забрали свои слова про двухмесячного админа назад и извинились? Что я мог постить на ответ примерно такой: да ты чайник, ты что не видишь это "а" а это "b", да это ж любой ламер поймет.
Фух... Много всего написано все мы погорячились, и все мы имеем право горячиться - ведь мы человеки :)
Еще раз извиняюсь, если кого обидел.
>Хочу выразить Вам свою огромную благодарность
>за Вашу статью по FreeBSD!ссылку можно?
>>Хочу выразить Вам свою огромную благодарность
>>за Вашу статью по FreeBSD!
>
>ссылку можно?