| 1.7, Ilya Indigo (ok), 19:54, 14/11/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Просветите. Зачем нужно вообще именно в /usr, не в /root /home /etc, ограничивать привилегии на чтение?
Не ужели для /usr/share/doc/ и /usr/share/man/?
| | |
| |
| |
| 3.10, Ilya Indigo (ok), 20:14, 14/11/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
Говорит.
Во времена, когда не было больших винтов, /usr была общей папкой перемонтированной с мега-хранилища, но каждый комп в отдельности имел свою /usr/local, в которой он хранил свои собственные либы и бинарники, нужные только ему.
В наши времена больших винтов, /usr/local используется как путь по умолчания для собственных сборок, что бы не смешивать их с бинарниками и либами, устанавливаемыми через репозитории или rpm/deb пакеты.
Только вот это мне ничего не проясняет и на вопрос, зачем ограничивать на это доступ для чтения, не отвечает.
| | |
| |
| 4.16, pxeL (?), 22:25, 14/11/2014 [^] [^^] [^^^] [ответить] | –4 +/– | Ну, если честно - не помню точно, могу собственными словами только по юникс-вей... большой текст свёрнут, показать | | |
| |
| 5.47, Аноним (-), 04:01, 16/11/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Демон в изолированном контейнере маунтит /usr
Маунтить он могет без рута, а прочитать не могет. Оригинально )))
| | |
|
| 4.51, pavlinux (ok), 16:37, 16/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > В наши времена больших винтов, /usr/local используется как путь по умолчания для ...
# ls -la /usr/local
ls: cannot access /usr/local: No such file or directory
| | |
|
|
| 2.32, fi (ok), 15:19, 15/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
 наследственность от старых unix, в том же /usr/etc/ могут быть конфиги, плюс часть прог могут иметь чтение/исполнение не для всех, например '/usr/sbin/suexec' - его нужно будет куда-нибудь перенести.
| | |
|
| |
| |
| 3.46, Michael Shigorin (ok), 23:47, 15/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
 >> https://bugzilla.redhat.com/show_bug.cgi?id=517575
> Т.е. посоны пилят что-то для ред хата.
> Тут заходит Шигорин и объясняет, что они, козлы такие, своими правками в
> репозитории редхата сломали что-то в Alt Linux.
Когда до Вас дойдёт, что обозначает "непривилегированная сборка чрута" -- перечитайте, пожалуйста, ещё разик. А они как тогда глупость сделали, так и сейчас следующим ходом в неё вляпаются по этому тикету, похоже...
> 5 баллов! | | |
|
|
| 1.20, user (??), 00:27, 15/11/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Для пакетов из стандартного репозитория это не бред, но для fhs сразу нафиг.
| | |
| 1.25, Аноним (-), 07:58, 15/11/2014 [ответить] [﹢﹢﹢] [ · · · ] | +2 +/– | Проблему федроки не понял, пока не вижу необходимости вникать в дебри Но хочу в... большой текст свёрнут, показать | | |
| |
| 2.31, cmp (ok), 15:12, 15/11/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Согласен.
Сначала /bin /lib в /usr перенесли, теперь весь /usr на чтение открыть, всякие selinux понапихали, нет что бы глобально переработать структуру фс системы, задолбали эти /media /opt и /srv пихать. По быстрому развернуть сервак с бд - хрен, сиди выпиливай ее из /var чтобы myisam не помер когда что-то в логи нагадит, сколько лет уже юниксу, а они все костыли лепят.
в /var зайти страшно, каждая прога там чета оставила, то папку для chroot для ssh, то для named минимальное окружение, и там же кэш yum, и логи, и бд, и права там не дай бог не те, задолбаешься искать в чем проблема.
Хотя логично, если две непримеримые (не совместимые) сущности существуют бок о бок достаточно долго, то со временем граница стирается, 7ка скопированная с раздела на раздел сохраняет работоспособность и тузлы от винды к винде консольные появляются и документация, а линукс мутнеет от релиза к релизу, никто не хочет заморачиваться на нормальное решение, рубят с барского плеча - весь /usr всем на все че уж мелочится-то.
| | |
| |
| 3.35, Michael Shigorin (ok), 15:50, 15/11/2014 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> сиди выпиливай ее из /var чтобы myisam не помер когда что-то в логи нагадит
/var/log в сторонку придумали уже давно.
[snip]
| | |
| |
| 4.58, cmp (ok), 00:57, 17/11/2014 [^] [^^] [^^^] [ответить]
| +/– | |
Костылище, и ротация логов которая демоны перезапускает костылище, кому если не федоре ака редхату подсилу перепачить всяких зверьков аля tftpd чтобы они работали через syslog, а не писали тупо в файл. Тем более, что они и так весьма основательно патчат сорцы перед компиляцией и формированием rpm. Унифицировать демонов, и не понадобится всяких системд, но конечно прикрутить костыль проще.
На прошлой недели обновлял центос c 6.5 до 6.6, и чтобы вы думали - yum - питон - ошибка сегментации памяти, какая прелесть, кстате именно коредампы питона и засрали /var раздел, логи конечно тоже, но тем не менее шел 21 век.
| | |
|
| 3.59, DeadLoco (ok), 05:27, 17/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > сиди выпиливай ее из /var чтобы myisam не помер когда что-то в логи нагадит, сколько лет уже юниксу, а они все костыли лепят.
Собсно, /var - единственное место, куда логично по умолчанию впихнуть штуки, вроде почты, логов, БД, кешей проксей, не зная ничего о предпочтениях юзеров относительно партиций. И первое, что должен сделать админ после установки соотв. софта - это перенести большегрузные каталоги в сухое теплое темное место. А дальше уже по вкусу - либо поправить пути в конфигах, либо сделать линки с нового места на старое.
| | |
|
| 2.61, Денис (??), 16:33, 17/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Какие права поставлят, например, на файл:
> $ ls -l /usr/bin/gpasswd
> -rws--x--x 1 root root 79200 мая 31 18:07 /usr/bin/gpasswd
а чо, какая проблема? у меня в дебиан:
-rwsr-xr-x 1 root 68024 май 26 2012 /usr/bin/gpasswd
по умолчанию доступен на чтение...
даже если нет, ЧТО такого секретного хранится в бинарнике /usr/bin/gpasswd, что это нужно скрыть от простого юзера?
| | |
|
| 1.26, Аноним (-), 08:21, 15/11/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Полный список файлов на которые федорковци хотят изменить права:
find /usr/ -type f -perm /u+r,g+r ! -perm /o+r -exec ls -lg {} \;
Кроме выше сказаного с супербит сие также разрешит всем запускать игрушки, по умолчанию игрушки можно запускать только пользователям с групы games.
Возможно пробьёт ещё пару дыр в безопасности.
| | |
| |
| 2.28, Аноним (-), 10:30, 15/11/2014 [^] [^^] [^^^] [ответить]
| +/– | |
будем знать что собираются портить:
find /usr/ -type f ! -perm /o+r -exec ls -lg {} \; > fedorka_usr_perm.txt
| | |
| |
| 3.29, Аноним (-), 10:31, 15/11/2014 [^] [^^] [^^^] [ответить]
| +/– | |
Также:
find /usr/ -type d ! -perm /o+r -exec ls -ldg > {} \; > fedorka_usr_perm.txt
| | |
|
| 2.53, Xasd (ok), 19:25, 16/11/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > ... по умолчанию игрушки можно запускать только пользователям с групы games.
>
> Возможно пробьёт ещё пару дыр в безопасности.
то есть теперь игрушки смогут запускать все кто хотят? вот это дырень!
(сарказм:))
| | |
| 2.60, Аноним (-), 11:33, 17/11/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> по умолчанию игрушки можно запускать только пользователям с групы games
Насколько я знаю, это только в генте так.
| | |
| 2.62, Денис (??), 16:37, 17/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Полный список файлов на которые федорковци хотят изменить права:
> find /usr/ -type f -perm /u+r,g+r ! -perm /o+r -exec ls -lg
> {} \;
# find /usr/ -type f -perm /u+r,g+r ! -perm /o+r -exec ls -lg {} \;
-rwx------ 1 root 26992 апр 2 2012 /usr/lib/cups/backend/cups-pdf
#
ПАНИКА! ПАНИКА!!!
> Кроме выше сказаного с супербит сие также разрешит всем запускать игрушки, по
> умолчанию игрушки можно запускать только пользователям с групы games.
> Возможно пробьёт ещё пару дыр в безопасности.
"рассмотрено предложение по введению требований по обязательной доступности на чтение всех файлов и директорий иерархии /usr"
с каких пор доступ на чтение разрешает запуск?
| | |
|
| 1.30, AAA (??), 15:11, 15/11/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
"systemd --test works much better if systemd can read the relevant parts of /usr. "
https://fedorahosted.org/fpc/ticket/467
что всегда радует в этом вашем systemd - это грамотные технические аргументы: сказали "much better" и всё, действительно, всё работает "Намного Лучше"...
| | |
| |
| |
| 3.39, Аноним (-), 19:05, 15/11/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
Какой смысл помогать Альт Линуксу, если с таким же успехом можно помогать Федоре или Убунте; "с таким же успехом", потому что всё равно вся работа напрасна, вы и сами это отлично понимаете.
В чём смысл тогда для вас лично?
Главное сам процесс, ведь так?
| | |
| |
| 4.40, Michael Shigorin (ok), 20:40, 15/11/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
> "с таким же успехом", потому что всё равно вся работа напрасна,
> вы и сами это отлично понимаете.
Вы уже перестали бить воспитательницу по утрам?
> В чём смысл тогда для вас лично?
Раз берётесь "понимать" за меня -- мой ответ Вам неинтересен. Научитесь разговаривать -- приходите, обсудим.
| | |
|
| 3.42, Аноним (-), 21:26, 15/11/2014 [^] [^^] [^^^] [ответить]
| +/– | |
>Должно же хоть что-то работать.
Кстати, какие планы по системе инициализации?
| | |
| |
| |
| |
| 6.55, Michael Shigorin (ok), 22:10, 16/11/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> То есть вопрос с переходом на systemd решён?
То есть можно применять и то, и то. По части systemd есть ряд проблем, решённых в федоре, и нету ряда проблем, добавленных там (вроде оторванных ethX); по части sysvinit главным камнем преткновения остаётся polkit, если не нужен или не жалко порезать ему аутентификацию, как описано -- работает себе, а так sem@ посматривает на systemd-shim и предыдущие подходы к снаряду.
PS: часть официальных сборок делается с sysvinit: altlinux.org/starterkits#livecd -- достаточно несложно делать такие и с TDE/E17, т.к. эти среды довольно сильно автономны.
| | |
|
|
|
|
|
| 1.50, Аноним (-), 15:56, 16/11/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Alt Linux навсегда:
# hddtemp /dev/sda
bash: hddtemp: команда не найдена
# /usr/sbin/hddtemp /dev/sda
ВНИМАНИЕ: Диск /dev/sda не включен в базу данных поддерживаемых приводов.
ВНИМАНИЕ: Но с использованием распространенных параметров он что-то выдает.
ВНИМАНИЕ: Заметьте, что показанная температура может таковой не являться.
ВНИМАНИЕ: См. опции --help, --debug и --drivebase.
ВНИМАНИЕ: И не забудьте, что можно добавить привод в hddtemp.db
| | |
| |
| 2.52, pavlinux (ok), 16:44, 16/11/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Alt Linux навсегда:
> # hddtemp /dev/sda
> bash: hddtemp: команда не найдена
> # /usr/sbin/
1. Курить доки по UNIX на тему /sbin и /usr/sbin и почему не рекомендуется включать их в PATH
2. Имея рута, ныть на эту тему могут только последние лошопеды.
| | |
| 2.56, Michael Shigorin (ok), 22:28, 16/11/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Alt Linux навсегда:
Не, ничто не вечно под луною.
> # hddtemp /dev/sda
> bash: hddtemp: команда не найдена
Вы привыкли к кривому нестандартному su, в альте соответствующее стандартам (и в силу того, что все действительно не в ногу -- это частый камень преткновения): http://altlinux.org/su
Сравните выхлоп [CODE]su -c 'echo $PATH'[/CODE] и [CODE]su - -c 'echo $PATH'[/CODE]
> # /usr/sbin/hddtemp /dev/sda
> ВНИМАНИЕ: Диск /dev/sda не включен в базу данных поддерживаемых приводов.
Мы её достаточно долго пополняли автономно (и слали патчи в апстрим), но проект уже несколько лет как по факту не принимает патчи, а это предупреждение можно пропустить мимо ушей; если хотите, почитайте документацию в пакете и пришлите данные/повесте в альт багу, сделаю. PS: http://bugzilla.altlinux.org/hddtemp
Впрочем, с таким предлагаю пойти в какую-нить тему про альт, чтоб не спамить коллегам в теме про федору. Например, сюда: http://www.opennet.me/opennews/art.shtml?num=40834 (спасибо за напоминание, добавил пакет в ALT Linux Rescue).
| | |
|
|
