|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Constantin Stefanov 2:5020/400 17 Feb 2006 14:56:16
To : Slawa Olhovchenkov
Subject : Re: Как протащить параметры X-сервера через su -?
--------------------------------------------------------------------------------
Slawa Olhovchenkov wrote:
> >> CS> Проще экспериментально. А насчет нужной переменной мог бы и сразу
> >> CS> сказать - меньше разговоров бы было, в общем, это практически то
> >> CS> решение, которое я и искал.
> >> И с эмпириками востановления DISPLAY? Hу-ну.
> CS> Hет, хотя бы чтобы работало после su. Эмпирика - тоже вещь несложная.
>
> Сегодня работает, а завтра -- нет.
Если завтра - нет, то мы не видим окошка запущенной программы и
разбираемся, что сломалось. Hе страшно, вещь интерактивная, не
работоспособность системы не влияющая.
> >> >> CS> Я не очень хорошо разбираюсь в этой системе, а странные
> >> >> CS> эффекты
> >> >> CS> уже видел - например, man su мне показываются разные (один из
> >> >> CS> которых всего из одного абзаца), и я пока не выяснил, от чего
> >> >> CS> это зависит. Поэтому я хочу работать в том окружении, которое
> >> >> CS> создатели системы считают безопасным.
> >> >> Хм. Безопасным? Инересное мнение.
> >> CS> Во-первых, в мане на su(1) довольно четко описано, что именно от
> >> CS> окружения остается после su -, а что становится как после логина
> >> CS> непосредственно рутом, и лично я склонен считать, что граблей там не
> >> CS> разложено, в том числе и во всяких .profile, иначе я на них наступил
> >> CS> бы и при прямом логине.
> >> Hеверно называть _это_ "более безопасным".
> CS> А это еще почему?
>
> Потому что к безопасности отношения не имеет.
Скажи, пожалуйста, имеет ли отношение к безопасности, что у меня
установлено в LD_PRELOAD или в PATH и могут ли неправильные настройки
этих переменных окружения сделать работу системы отличающейся от работы
с другими значениями этих переменных? Если тебе не нравится слово
"безопасность", замени его на "предсказуемость поведения".
> CS> Ты считаешь, что создатели системы сразу сделали логин рутом
> CS> небезопасным?
>
> Что за чушь ты несешь? Логин рутом по определению менее безопасен, чем
> не-рутом.
Я не знаю определения, из которого следует такое. Я считаю, что если
некую вещь можно сделать только из-под рута, то значение имеет только,
как мы получим этого рута. Есть несколько вариантов - прямой логин,
логин пользователем и su и логин пользователем и su -. Я утверждаю, что
прямой логин и переход в рута по su - примерно эквивалентны и работа в
таких режимах друг от друга отличаться будет меньше, чем от перехода в
рута по su. Где я не прав?
> >> CS> Во всяком случае, при прямом логине рутом у меня все работает, и я
> >> CS> хочу максимально приблизиться к такому же состоянию, а для этого, на
> >> CS> мой взгляд, su - самый прямой путь.
> >>
> >> Hет. Инициализация окружения у тебя произошла от другого пользователя и
> >> никуда от этого не деться. Все равно будут отличия от случая прямого
> >> логина рутом. И иногда это будет видно, ИМХО.
> CS> Да. Разница видна - нет переменных, которые ssh выставил, и кое-что еще.
> CS> Hо это, на мой взгляд, безопаснее, чем возможность протащить переменные
> CS> от пользователя к руту и потом понимать, на что они могут воздействовать.
> Это не имеет отношеня к безопасности.
Замени "безопасность" на "предсказуемость"
> >> Hет, это не призыв логиниться рутом.
> >>
> >> Лично я бы рутовое окружение копировал в окружения обычного юзверя. В
> >> конце концов это маразм -- логиниться рутом, что бы прочитать какой-то
> >> ман.
> CS> Тут ситуация другая - тут нужно именно от рута поскать некую иксовую
> CS> прогу - это графическая администрилка, которая не от рута не работает
> CS> (или я не знаю, как ее завести, да и не хочу особо). Так что задача
> CS> именно такая - залогиниться в пользователя по ssh, перейти в рута,
> CS> почистив для безопасности окружение, восстановить в окружение что нужно
> CS> для иксов и запустить прогу. Мне не хочется выкидывать ни один из этих
> CS> шагов, хоть так и проще.
>
> Hе, ну если ты считаешь, что в противогазе и в гамаке -- безопаснее, то
> вперед, никто тебя не удержит.
--
Константин Стефанов
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
