|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Spartak Radchenko 2:5020/400 07 Oct 2003 12:54:30
To : "Buggzy the Hocker"
Subject : Re: вопрос по взлому сервера
--------------------------------------------------------------------------------
Buggzy the Hocker <hocker@cougars.com> wrote:
BtH>
BtH>>> Я вообще-то говорил про ACL для файловой системы, которым юнихи
BtH>>> только-только начали учиться.
BtH>
SR>> В 5-й ветке FreeBSD есть ACL. Вот только я не уверен, что его стоит
SR>> использовать. Разве что для файлопомоек со сложными правами доступа.
SR>> А в системе лучше всё делать по старинке, через rwxrwxrwx. Этого
SR>> обычно вполне достаточно, а контролировать такое на порядок проще.
BtH>
BtH> Что chroot - хорошая вещь - доказывать не надо?
Hе надо. А ещё более хорошая вещь - это jail. Hу и всякие mount_null
и mount_union тоже могут пригодиться. Хардлинки тоже.
BtH> Так вот, ACL - это более удобный аналог chroot: дерево остается старым,
BtH> копировать и синхронизировать
BtH> ничего не надо, просто отбираешь у демона доступ туда, куда ему ходить не
BtH> надо...
Да ему обычно никуда и не надо. Разве что /dev/null и прочая мелочь
может понадобиться. Я не спорю, что ACL - штука гибкая. Hо именно
в силу этой гибкости его труднее контролировать. Ты вот, к примеру,
в курсе, что обычная аська в XP может работать только из под админа?
А Lite работает и под обычным юзером. Hо за счёт чего? А за счёт того,
что она втихаря при установке где-то там правит ACL на предмет дать
доступ по записи _для всех_. Hо никто не замечает, потому что нужно
провести аудит всей файловой системы, чтобы такое заметить. И тут
не отделаешься беглым просмотром вывода команды ls -l.
--
Spartak Radchenko SVR1-RIPE
--- ifmail v.2.15dev5
* Origin: Arguments & Facts Weekly (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
