| 1.1, Аноним (-), 16:49, 24/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Интересно, как будет работать сервер с доступом к видеокарте "только на чтение"?
| | |
| |
| 2.2, Шурек Табуреткин (ok), 16:53, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
 По большому счету, для запуска графической оболочки нахер не нужны root-привилегии. Доступом к системным областям пусть занимаются системные службы. Ваш К.О. Ну а если надо что-то править/конфигурять - будь добр, введи пароль.
| | |
| |
| 3.3, Аноним (-), 16:58, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
И читать ввод с клавиатуры/мыши, и выводить изображение на экран - тоже должны какие-то "системные службы", никак не относящиеся к дисплейному серверу?
| | |
| |
| 4.21, Аноним (-), 18:21, 24/02/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>И читать ввод с клавиатуры/мыши, и выводить изображение на экран - тоже должны какие-то "системные службы", никак не относящиеся к дисплейному серверу?
SystemD же. Скоро и в опёнке.
| | |
| |
| 5.32, Аноним (-), 20:13, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
Таки да, для корректного управления правами на доступ к устройству необходим специальный демон, который следит, кто сейчас работает за компом и запустил ли он иксы. Пока на юниксах есть только одна рабочая реализация - systemd-logind.
| | |
|
|
|
| 2.4, Например (?), 17:04, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
пишет не напрямую в устройство, а через соответсвующие модули, которые уже сами пишут в устройство. Как-то так.
| | |
| |
| 3.5, Аноним (-), 17:08, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> пишет не напрямую в устройство, а через соответсвующие модули, которые уже сами пишут в устройство. Как-то так.
А как организован доступ к этим модулям? "Юзай кто хочет" или "только один пользователь vasya" (гуй для других пользователей не поддерживается)?
| | |
|
| 2.16, Andrey Mitrofanov (?), 17:57, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Интересно, как будет работать сервер с доступом к видеокарте "только на чтение"?
Нудк, открывает (если вообще) /dev/pciNNN только на чтение. _Пишет_ он в /dev/dri/card0, на котором есть r/w, например.
| | |
| |
| 3.19, Аноним (-), 18:13, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> _Пишет_ он в /dev/dri/card0, на котором есть r/w, например.
Животрепещущий вопрос - _для кого_ там r/w? Для всех или только для одного избранного пользователя (единственного имеющего право запускать иксы и писать любую хрень в видеодрайвер)?
| | |
| |
| |
| 5.30, Аноним (-), 20:09, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
Особенно весело, когда при запущенных иксах другой пользователь из группы (например, сидя по ssh) сделает cat /dev/urandom > /dev/dri/card0, например :)
| | |
| |
| 6.37, aLexius (ok), 21:06, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
 Таких пользователей с работы гнать обычно надо. Возможно, что уже и с уголовным делом на этого пользователя.
| | |
| |
| 7.39, arisu (ok), 21:08, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > Таких пользователей с работы гнать обычно надо. Возможно, что уже и с
> уголовным делом на этого пользователя.
сначала надо гнать админа, который настроил систему так, что обычный пользователь зачем-то состоит в одной группе с икс-сервером.
| | |
| 7.60, Аноним (-), 10:40, 25/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Таких пользователей с работы гнать обычно надо. Возможно, что уже и с
> уголовным делом на этого пользователя.
Ох уж эта замечательная виндовая модель - технически доступ ограничивать не надо, есть же административные методы.
Уголовная статья за создание вирусов уже спасла от них мир, конечно же :)
| | |
|
| 6.38, arisu (ok), 21:07, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
а какого чёрта криворукий админ позволил «другому пользователю» в иксовую группу лезть? прикинь, а если «другой пользователь» под рутом зайдёт, это вообще катастрофа будет!
| | |
| 6.42, Xaionaro (ok), 21:31, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > Особенно весело, когда при запущенных иксах другой пользователь из группы (например, сидя
> по ssh) сделает cat /dev/urandom > /dev/dri/card0, например :)
А зачем этот другой пользователь это делает? Я так понимаю, если ему дали права, то значит доверяют. Видать зря доверяют, нужно отбирать эти права нахрен (исключить из the группы).
| | |
| |
| 7.65, Аноним (-), 10:47, 25/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> А зачем этот другой пользователь это делает? Я так понимаю, если ему
> дали права, то значит доверяют. Видать зря доверяют, нужно отбирать эти
> права нахрен (исключить из the группы).
Дали ему права исключительно запускать иксы, а в результате получился полный доступ к интерфейсам ввода-вывода (включая ядерный видеоинтерфейс, через который очень удобно ломать ядро). Вот поэтому rootless X в linux и не взлетел - там, в отличие от openbsd, заботятся о безопасности.
| | |
|
| 6.55, Аноним (-), 01:30, 25/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Особенно весело, когда при запущенных иксах другой пользователь из группы
Какой группы? Вы предлагаете засунуть юзера и иксы в одну группу? А зачем?
| | |
| |
| 7.61, Аноним (-), 10:41, 25/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Какой группы? Вы предлагаете засунуть юзера и иксы в одну группу? А зачем?
Чтобы иксы работали без рута, например.
| | |
|
| 6.57, Andrey Mitrofanov (?), 09:54, 25/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Особенно весело, когда при запущенных иксах другой пользователь из группы (например, сидя
> по ssh) сделает cat /dev/urandom > /dev/dri/card0, например :)
Итак, про _блокировки файлов не слышали:
aLexius, arisu, Xaionaro
и несчётное число Аноним-ов. Это Победа!
| | |
| |
| 7.58, бедный буратино (ok), 10:27, 25/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
 >> Особенно весело, когда при запущенных иксах другой пользователь из группы (например, сидя
>> по ssh) сделает cat /dev/urandom > /dev/dri/card0, например :)
> Итак, про _блокировки файлов не слышали:
> aLexius, arisu, Xaionaro
> и несчётное число Аноним-ов. Это Победа!
и меня запиши
| | |
| 7.71, arisu (ok), 13:35, 26/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
«победа» — это зачем-то не отделять иксы в отдельную группу. я так полагаю, что это от судорог при виде suid. что-то из разряда «напишу побольше лапши, лишь бы ни одного ненавистного goto!»
| | |
|
|
|
| 4.45, Аноним (-), 23:31, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> _Пишет_ он в /dev/dri/card0, на котором есть r/w, например.
> Животрепещущий вопрос - _для кого_ там r/w? Для всех или только для
> одного избранного пользователя (единственного имеющего право запускать иксы и писать любую
> хрень в видеодрайвер)?
Если запуск иксов идёт через XDM или DM'ы из официальных пакетов, то они берут управление переключением владельца /dev/drm0 на себя.
Если запуск иксов идёт через "startx" и т.п., то надо перед этим ручками поменять владельца/группу у /dev/drm0 на подходящую.
| | |
|
|
| 2.27, Аноним (-), 19:04, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
>как будет работать сервер с доступом к видеокарте "только на чтение"?
Со статическим изображением :)
| | |
| |
| 3.67, Andrey Mitrofanov (?), 21:24, 25/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>как будет работать сервер с доступом к видеокарте "только на чтение"?
> Со статическим изображением :)
Нет, монитор превратится в видеокамеру. --[В Советской России?!!] R/O xorg-server смотрит на тебя!
| | |
|
| 2.44, Аноним (-), 23:28, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Интересно, как будет работать сервер с доступом к видеокарте "только на чтение"?
В данном случае имеется в виду ограниченный доступ к регистровому пространству PCI.
Для работы памятью видеокарты "напрямую" достаточно DRI/DRM.
| | |
|
| |
| |
| |
| 4.50, Аноним (-), 23:36, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> я не умею, я только первый абзац перевёл электронным переводчиком.
Тогда соблазните кого-нибудь в пределах физической досягаемости. В духе "могу заставить копать другого". :)
| | |
| 4.59, Аноним (-), 10:38, 25/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> я не умею, я только первый абзац перевёл электронным переводчиком.
Переводи им же и остальное, и пости сюда. Для сельской местности сойдет :)
| | |
| |
| 5.62, бедный буратино (ok), 10:42, 25/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> я не умею, я только первый абзац перевёл электронным переводчиком.
> Переводи им же и остальное, и пости сюда. Для сельской местности сойдет :)
И так уже две полезных новости про openbsd. А та - бесполезная. Так, побаловаться.
| | |
|
|
|
|
| 1.8, MPEG LA (?), 17:15, 24/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
в то время как дефолтный Archlinux up to date с xf86-video-intel и KDE:
>$ ps aux | grep X
>root 381 2.7 1.8 563912 294420 tty7 Ssl+ 08:54 10:34 /usr/bin/X :0 vt7 -nolisten tcp -auth /var/run/xauth/A:0-DQxL2b | | |
| |
| |
| 3.11, Аноним (-), 17:28, 24/02/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
Со своими матами в виде чмоД и суДО иди-ка, отдохни. Это костылище матёрый, если не видишь, значит этот пост пейсал обычный обыкновенный localhost.
| | |
| |
| 4.15, arisu (ok), 17:53, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Со своими матами в виде чмоД и суДО иди-ка, отдохни. Это костылище
> матёрый, если не видишь, значит этот пост пейсал обычный обыкновенный localhost.
ай, молодец! нифига не понял, что написали, но шашку наголо и в бой! видать, Матёрый Админ к нам завернул.
| | |
|
|
| 2.10, Аноним (-), 17:24, 24/02/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
и вообще пруф что в openbsd suid bit убрали. И вообще как они это сделают если другие драйвера без root не работают?
Запускать без рут ты в своем арчике мог 7 лет назад если не больше.
| | |
| |
| 3.13, Аноним (-), 17:30, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> и вообще пруф что в openbsd suid bit убрали. И вообще как
> они это сделают если другие драйвера без root не работают?
А никто и не говорил, что убрали. Новость о том, что сделали новую экспериментальную возможность.
| | |
| |
| 4.47, Аноним (-), 23:34, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> и вообще пруф что в openbsd suid bit убрали. И вообще как
>> они это сделают если другие драйвера без root не работают?
> А никто и не говорил, что убрали. Новость о том, что сделали
> новую экспериментальную возможность.
Не убрали. Однако иксы в опёнке фактически работают под отдельным пользователем "_x11" и привилегии root используются только для необходимого.
| | |
| |
| 5.49, Аноним (-), 23:35, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
>>> и вообще пруф что в openbsd suid bit убрали. И вообще как
>>> они это сделают если другие драйвера без root не работают?
>> А никто и не говорил, что убрали. Новость о том, что сделали
>> новую экспериментальную возможность.
> Не убрали. Однако иксы в опёнке фактически работают под отдельным пользователем "_x11"
> и привилегии root используются только для необходимого.
Да, а чтобы убрать - надо все драйвера в Xorg перевести на KMS. Только Xorg - это не OpenBSD, там воли это сделать ни у кого нет, увы.
| | |
| |
| 6.64, Аноним (-), 10:44, 25/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Только Xorg - это не OpenBSD, там воли это сделать ни у кого нет, увы.
Надо полагать, тот аноним, который устраивает истерику каждый раз при выкидывании из иксов не-kms дров от видях, которые не выпускают уже лет 10 - это тоже вы?
| | |
| |
| 7.66, Аноним (-), 14:20, 25/02/2014 [^] [^^] [^^^] [ответить] | +/– | Не истерил, ибо не склонен Но ругаться - ругался и ругаюсь на другое в проекте... большой текст свёрнут, показать | | |
|
|
|
|
| 3.20, MPEG LA (?), 18:19, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Запускать без рут ты в своем арчике мог 7 лет назад если
> не больше.
это понятно. просто помню метания копий во время ввода KMS, и как все кричали, что мол теперь rootless X, все дела... но до мейнстрима так и дошло.
и да, 7 лет - это вы загнули.
| | |
| |
| 4.34, Аноним (-), 20:15, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> это понятно. просто помню метания копий во время ввода KMS, и как
> все кричали, что мол теперь rootless X, все дела... но
> до мейнстрима так и дошло.
Потому что logind тогда не было. А без него rootless X - куда большее решeто, чем suid X.
| | |
| |
| 5.36, бедный буратино (ok), 21:01, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Потому что logind тогда не было. А без него rootless X -
> куда большее решeто, чем suid X.
Один ты эксперт самый умный и красивый.
| | |
|
|
|
|
| 1.28, Zenitur (ok), 19:17, 24/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
 Фанатики ненужного системгэ лажанулись. На рашнфедоре был большой и пафосный текст о героическом подвиге разработчиков системгэ, которые заявляли что отвязали иксы от root. Хотя на самом деле это было сделано ещё в 2008 году: http://airlied.livejournal.com/59521.html Но патчи не приняты в апстрим.
| | |
| |
| 2.31, Аноним (-), 20:11, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Фанатики ненужного системгэ лажанулись. На рашнфедоре был большой и пафосный текст о
> героическом подвиге разработчиков системгэ, которые заявляли что отвязали иксы от root.
> Хотя на самом деле это было сделано ещё в 2008 году:
> http://airlied.livejournal.com/59521.html Но патчи не приняты в апстрим.
Наверное, потому, что они предполагали chmod 777 на ядерный видеоинтерфейс :)
| | |
| |
| 3.43, Xaionaro (ok), 21:35, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> Фанатики ненужного системгэ лажанулись. На рашнфедоре был большой и пафосный текст о
>> героическом подвиге разработчиков системгэ, которые заявляли что отвязали иксы от root.
>> Хотя на самом деле это было сделано ещё в 2008 году:
>> http://airlied.livejournal.com/59521.html Но патчи не приняты в апстрим.
> Наверное, потому, что они предполагали chmod 777 на ядерный видеоинтерфейс :)
Господа, а можно ссылочки? Не критики ради, а любопытства ради.
| | |
|
| 2.52, pavlinux (ok), 23:40, 24/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > Хотя на самом деле это было сделано ещё в 2008
Тема "X без рута" всплывает примерно раз в 5 лет, так же как и другие баяны
типа "Новый init", новый devfs, очередной dbus, очередной DE,...
| | |
| |
| 3.63, Аноним (-), 10:42, 25/02/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Тема "X без рута" всплывает примерно раз в 5 лет, так же как и другие баяны
> типа "Новый init", новый devfs, очередной dbus, очередной DE,...
Вот же ж фигней страдают люди. Нет чтобы чем-нибудь полезным заняться. Linux под BSDL переписать, например.
| | |
|
|
| 1.51, pavlinux (ok), 23:36, 24/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Правильно, - нахрен нужен рут, ломаем систему сразу через Ring0 и шину PCI! :)
| | |
| |
| 2.53, Аноним (-), 23:44, 24/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Правильно, - нахрен нужен рут, ломаем систему сразу через Ring0 и шину
> PCI! :)
Угу. И нахрен нужны локальные вирусы и руткиты, если и так любая X-овая программа имеет полный доступ к ресурсам другой, может мониторить буфер обмена, все нажимаемые клавиши и перемещения мыши...
| | |
|
|
