|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vadim Goncharov 2:5020/400 02 Mar 2006 17:54:45
To : Alex Semenyaka
Subject : Re: ftpd perms wrong - bug?
--------------------------------------------------------------------------------
Hi Alex Semenyaka!
On Wed, 01 Mar 2006 00:44:42 +0300; Alex Semenyaka wrote about 'ftpd perms wrong
- bug?':
AS>>>>>>>>> Да элементарно. Выделить раздел, например, /big в нём сделать
AS>>>>>>>>> /big/ftp, куда всё чрутить, и там уже заводить подкаталоги.
AS>>>>>>>>> Заодно снап и квоты (if any) не будут мешаться с каталогами
AS>>>>>>>>> ftp, что само по себе правильно.
VG>>>>>>>> Это один раздел. А еще два ты как примонтируешь не в корень? У
VG>>>>>>>> них совершенно разные размеры, назначение и параметры fs.
AS>>>>>>> Погоди, ты что, считаешь, что точка монтирования обязана быть в
AS>>>>>>> корне???!
VG>>>>>> Hет, не считаю. Я спрашиваю тебя, как сделать в случае наличия
VG>>>>>> еще двух разделов, которые должны быть видимы анонимному ftp.
VG>>>>>> Т.е. корень одного раздела можно вынести за чрут, но корни двух
VG>>>>>> других получаются внутри чрута.
AS>>>>> Зависит. Hапример, локальный NFS или nullfs.
VG>>>> Ужас, как криво и некрасиво.
AS>>> Криво - давать пользователям видеть то, что им не нужно.
VG>> Решается выстановкой соответствующих прав.
AS> Ответ неверный, потому что неполный (иначе бы такого понятия, как chroot,
AS> не было бы) :) Решается и настройкой прав _тоже_. Безопасность
AS> обеспечивается не в одном месте, а по всей цепочке "пользователь" -
AS> "сенситивная информация".
Я говорю о своем конкретном случае. А chroot в тот каталог ftpd и так
делает.
AS>>>>>>>>> Это переводится так - "что бы я не делал, система
AS>>>>>>>>> автоматически должна меня защищать". Такая позиция
AS>>>>>>>>> эгоистичного ребёнка совершенно ненормальна и никто её
AS>>>>>>>>> поддерживать не будет. Этот PR могут закрыть, да, но в целом
AS>>>>>>>>> никому не интересно защищать тебя от тебя же. А то, что ты
AS>>>>>>>>> делал сисинсталлом - и есть конфигурирование, если ты ещё не
AS>>>>>>>>> понял :-\ Что наконфигурил, то и получил.
VG>>>>>>>> Я не понимаю, чего ты споришь. Ты несогласен, что конкретно
VG>>>>>>>> вот это в sysinstall должно быть исправлено?
AS>>>>>>> Я не могу согласиться с утверждением, что виновата система. В
AS>>>>>>> данном случае ровно половина ответственности лежит на тебе.
AS>>>>>>> Можно помочь системе не отстреливать тебе ногу в данном случае,
AS>>>>>>> но в целом твой подход - неверен.
VG>>>>>> Да, небольшая часть лежит и на мне. Hо мой подход состоит в том,
VG>>>>>> что прослойка, облегчающая жизнь человека, должна выполнять и
VG>>>>>> защиту от непреднамеренных действий оператора.
AS>>>>> Твой подход я давно понял. И ещё раз повторю, что в целом твой
AS>>>>> подход - неверен.
VG>>>> Расскажи это проектировщикам АЭС.
AS>>> А они тоже расчитывают, что их огородят флажками на все случае
AS>>> производители ОС? Тогда беда, надо от АЭС подальше жить... Или ты
AS>>> это сам за них придумал?
VG>> Hет, они посмеются с твоего предложения возложить на оператора, а не на
VG>> системы защит,
AS> Оператор на АЭС не ставит станцию, и не отвечает за расстановку этих самых
AS> защит. А системный администратор отвечасет и за установку, и за расстановку
AS> защит. Ты сейчас пытаешься сделать вид, что ты только оператор, и
Мсье о пуско-наладочных работах что-нибудь слышал? А о модернизациях
станций? Следуя твоей аналогии, проектировкой занимаются разработчики ОС,
а админ - именно оператор. Hо это так, к слову. А в целом - я не могу
считать безопасным подход, в котором обеспечение безопасности целиком
возлагается на ненадежный человеческий фактор без дополнительных
проверок.
AS> sysinstall должен быть умнее тебя. Извини, это чепуха.
Я такого не говорил. Он должен нормально выполнять ту рутину, которую
я ему сказал сделать (выбрав из того, что он умеет).
AS>>>>> У администратора слишком много возможностей для отстрела себе
AS>>>>> ног, и ОС не должна ему мешать это сделать, если он делает что-то
AS>>>>> своё. Ты строил свою конфигурацию, не являющуюся дефолтной. Так
AS>>>>> что и виноват ты ровно наполовину.
VG>>>> Ты был бы абсолютно прав, если бы все делал руками в конфигах
VG>>>> напрямую, без промежуточных прослоек.
AS>>> Да пофигу. Администратор должен проверять конфигурацию, кто бы эту
AS>>> конфигурацию ему не сделал. А ты хочешь, чтобы sysinstall был умнее
AS>>> тебя.
VG>> Я поручаю sysinstall'у достаточно типовые задачи (на которые он
AS> В данном случае это не было типовой задачей. Точка.
Если sysinstall задает об этом вопрос во время стандартной инсталляции
- значит одна из типовых задач. Повторю свой вопрос: ты считаешь, что
поведение sysinstall в данном случае не должно быть исправлено?
VG>> и рассчитан), и его предназначение - как раз сэкономить мое время.
VG>> Если же я буду всё перепроверять за ним, экономия будет сведена на
VG>> нет - какой тогда будет смысл в sysinstall ?
AS> Его практически и нет.
Интересно, как ты новые системы инсталлишь и сколько времени оно занимает.
--
WBR, Vadim Goncharov. ICQ#166852181 mailto:vadim_nuclight@mail.ru
[Moderator of RU.ANTI-ECOLOGY][FreeBSD][http://antigreen.org][LJ:/nuclight]
--- slrn/0.9.8.1 on FreeBSD 4.11/i386
* Origin: Nuclear Lightning @ Tomsk, TPU AVTF Hostel (2:5020/400@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
