|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Constantin Stefanov 2:5020/400 17 Feb 2006 16:27:18
To : Slawa Olhovchenkov
Subject : Re: Как протащить параметры X-сервера через su -?
--------------------------------------------------------------------------------
Slawa Olhovchenkov wrote:
> >> Потому что к безопасности отношения не имеет.
> CS> Скажи, пожалуйста, имеет ли отношение к безопасности, что у меня
> CS> установлено в LD_PRELOAD или в PATH и могут ли неправильные настройки
> CS> этих переменных окружения сделать работу системы отличающейся от работы
> CS> с другими значениями этих переменных? Если тебе не нравится слово
> CS> "безопасность", замени его на "предсказуемость поведения".
>
> У тебя есть "." в PATH? У тебя есть что-то в LD_PRELOAD? Hет? Тогда нечего
> компостировать мозги окружающим.
Такого, конечно, нет, но я не уверен, что какая-то другая переменная
окружения не может дать странных эффектов, пусть они и не скажутся на
том, что ты называешь безопасностью (может, я употребил этот термин не в
совсем правильном его значении, но ты лучше скажи что по делу, чем к
терминам цепляйся, очень ты это любишь).
> >> CS> Ты считаешь, что создатели системы сразу сделали логин рутом
> >> CS> небезопасным?
> >>
> >> Что за чушь ты несешь? Логин рутом по определению менее безопасен, чем
> >> не-рутом.
> CS> Я не знаю определения, из которого следует такое.
> Это следует из патча Бармина.
Если работать в любом случае надо из-под рута, то патч Бармина приложим
по-любому. Так что аргумент не катит. Работа из-под рута - это исходное
условие, и никуда от него не деться.
> CS> Я считаю, что если некую вещь можно сделать только из-под рута, то
> CS> значение имеет только, как мы получим этого рута. Есть несколько
> CS> вариантов - прямой логин, логин пользователем и su и логин
> CS> пользователем и su -. Я утверждаю, что прямой логин и переход в рута
> CS> по su - примерно эквивалентны и работа в таких режимах друг от друга
> CS> отличаться будет меньше, чем от перехода в рута по su. Где я не прав?
>
> В утверждении эквивалентности.
> В привязки различий поведения к безопасности.
А где, пардон, неэквивалентность? Окружение практически одинаковое -
что у su -, что у login изначально оно почти пустое, а потом заполняется
скриптами, которые шелл выполняет. Я смотрел на окружение после прямого
логина и после su -, и отличий там немного. А безопасность я, еще раз
говорю, рассматриваю не в смысле "нельзя вломиться" (хотя в этом тоже,
но не в этот момент), а в смысле "после моих действий система не придет
в изумительное состояние". Т.е. это не безопасность системы, а
безопасность моих действий по отношению к выведению системы из заданного
состояния.
> >> >> CS> Во всяком случае, при прямом логине рутом у меня все работает,
> >> >> CS> и
> >> >> CS> я хочу максимально приблизиться к такому же состоянию, а для
> >> >> CS> этого, на мой взгляд, su - самый прямой путь.
> >> >>
> >> >> Hет. Инициализация окружения у тебя произошла от другого пользователя
> >> >> и никуда от этого не деться. Все равно будут отличия от случая
> >> >> прямого логина рутом. И иногда это будет видно, ИМХО.
> >> CS> Да. Разница видна - нет переменных, которые ssh выставил, и кое-что
> >> CS> еще. Hо это, на мой взгляд, безопаснее, чем возможность протащить
> >> CS> переменные от пользователя к руту и потом понимать, на что они могут
> >> CS> воздействовать.
> >> Это не имеет отношеня к безопасности.
> CS> Замени "безопасность" на "предсказуемость"
> Лучше не стало. Предсказуемость идет от знаний, а не от шаманских плясок.
Ты прям идеалист. Да, я пытаюсь разобраться в системе, но помимо
разборок, на ней еще и работать, понимаешь, надо. И я пытаюсь что-то
сделать, полагаясь на предположение, что в одинаковых начальных условиях
при одинаковых воздействиях мы получим одинаковые результаты. И вот
пытаюсь создать одинаковые начальные условия (окружение, шелл,
считающий, что он логин шелл). Если я получу непонятки, я буду
разбираться, что их наводит. А пока я хочу попробовать сделать
одинаковые условия и работать, выполнять целевую функцию. А для работы
после создания одинаковых условий - да, то, о чем и речь с самого
начала, нужен DISPLAY и XAUTHORITY.
--
Константин Стефанов
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
