форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В Fedora рассматривается переход к обязательной доступности ..."	+/–
Сообщение от opennews (??) on 14-Ноя-14, 18:38
На заседании комитета FESCo (Fedora Engineering Steering Committee), отвечающего за техническую часть разработки дистрибутива Fedora Linux, рассмотрено (https://lists.fedoraproject.org/pipermail/devel/2014-Novembe...) предложение (https://fedorahosted.org/fpc/ticket/467) по введению требований по обязательной доступности на чтение всех файлов и директорий иерархии /usr. В качестве причины введения общей доступности на чтение всех файлов /usr, называется необходимость полного доступа к содержимому /usr при построении изолированных контейнеров с использованием непривилегированных процессов (контейнер и утилиты сопровождения должны иметь доступ ко всем данным /usr без необходимости получения прав root). Кроме того, предлагается распространять все файлы пакетов, не связанные с конфигурацией и изменяемыми в процессе работы данными, под пользователем и группой root с возможностью записи только пользователем root. Исключения, позволяющие распространение от других групп и пользователей, может быть предоставлено только из соображений обеспечения безопасности при должном аргументировании такой необходимости. Окончательное решение пока не принято, проект изменения правил находится на стадии рецензирования. URL: https://lists.fedoraproject.org/pipermail/devel/2014-Novembe... Новость: http://www.opennet.ru/opennews/art.shtml?num=41062
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

7. "В Fedora рассматривается переход к обязательной доступности ..."	–1 +/–
Сообщение от Ilya Indigo (ok) on 14-Ноя-14, 19:54
Просветите. Зачем нужно вообще именно в /usr, не в /root /home /etc, ограничивать привилегии на чтение? Не ужели для /usr/share/doc/ и /usr/share/man/?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "В Fedora рассматривается переход к обязательной доступности ..."	–1 +/–
	Сообщение от pxel on 14-Ноя-14, 20:05
	/usr/local - ниочём не говорит?
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "В Fedora рассматривается переход к обязательной доступности ..."	+3 +/–
	Сообщение от Ilya Indigo (ok) on 14-Ноя-14, 20:14
	Говорит. Во времена, когда не было больших винтов, /usr была общей папкой перемонтированной с мега-хранилища, но каждый комп в отдельности имел свою /usr/local, в которой он хранил свои собственные либы и бинарники, нужные только ему. В наши времена больших винтов, /usr/local используется как путь по умолчания для собственных сборок, что бы не смешивать их с бинарниками и либами, устанавливаемыми через репозитории или rpm/deb пакеты. Только вот это мне ничего не проясняет и на вопрос, зачем ограничивать на это доступ для чтения, не отвечает.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	16. "В Fedora рассматривается переход к обязательной доступности ..."	–4 +/–
	Сообщение от pxeL on 14-Ноя-14, 22:25
	Ну, если честно - не помню точно, могу собственными словами только. по юникс-вей - софт, соответственно, при сборке должен устанавливаться туда (дефолтный префикс), имитируя корень (у рх это "/usr"). Тут еще есть отдельная глава c /opt  - просто харит много тыкать :) Короче, как я понимаю: Есть CORE, где /usr/* не учавствует, а используется, как дата-софтваря каталог. Ну, например, есть root, который следит за CORE. А я - не админ, но должен администрировать субд, иметь возможность управлять, обновлять, откатывать, модифицировать - ну беру сорцы pg, накатываю патчи, собираю, _инсталлю_ и делаю старт демона. Демон в изолированном контейнере маунтит /usr и пользует субд, контейнер имеет лимит на 70%. если скажем проклонить конфиг демона можно запустить второй демон (test версию того-же демона) с лимитом в 3%. думаю тыкать о преимуществах нет смысла?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	47. "В Fedora рассматривается переход к обязательной доступности ..."	+1 +/–
	Сообщение от Аноним (??) on 16-Ноя-14, 04:01
	> Демон в изолированном контейнере маунтит /usr Маунтить он могет без рута, а прочитать не могет. Оригинально )))
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	51. "В Fedora рассматривается переход к обязательной доступности ..."	+/–
	Сообщение от pavlinux (ok) on 16-Ноя-14, 16:37
	> В наши времена больших винтов, /usr/local используется как путь по умолчания для ... # ls -la /usr/local ls: cannot access /usr/local: No such file or directory
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	11. "В Fedora рассматривается переход к обязательной доступности ..."	+1 +/–
	Сообщение от Аноним (??) on 14-Ноя-14, 20:22
	Почему не /nix/store? Ну, не созрели, наверно, ещё :-)
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	15. "В Fedora рассматривается переход к обязательной доступности ..."	+4 +/–
	Сообщение от Аноним (??) on 14-Ноя-14, 22:18
	/nihstor  же! :)
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	32. "В Fedora рассматривается переход к обязательной доступности ..."	+/–
	Сообщение от fi (ok) on 15-Ноя-14, 15:19
	наследственность от старых unix, в том же /usr/etc/ могут быть конфиги, плюс часть прог могут иметь чтение/исполнение не для всех, например '/usr/sbin/suexec' - его нужно будет куда-нибудь перенести.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "В Fedora рассматривается переход к обязательной доступности ..."	+/–
Сообщение от Аноним (??) on 14-Ноя-14, 20:54
казалось бы все правильно и логично.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "В Fedora рассматривается переход к обязательной доступности ..."	+1 +/–
Сообщение от Michael Shigorin (ok) on 14-Ноя-14, 23:39
https://bugzilla.redhat.com/show_bug.cgi?id=517575
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	41. "В Fedora рассматривается переход к обязательной доступности ..."	+1 +/–
	Сообщение от XoRe (ok) on 15-Ноя-14, 21:13
	> https://bugzilla.redhat.com/show_bug.cgi?id=517575 Т.е. посоны пилят что-то для ред хата. Тут заходит Шигорин и объясняет, что они, козлы такие, своими правками в репозитории редхата сломали что-то в Alt Linux. 5 баллов!
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	46. "В Fedora рассматривается переход к обязательной доступности ..."	+/–
	Сообщение от Michael Shigorin (ok) on 15-Ноя-14, 23:47
	>> https://bugzilla.redhat.com/show_bug.cgi?id=517575 > Т.е. посоны пилят что-то для ред хата. > Тут заходит Шигорин и объясняет, что они, козлы такие, своими правками в > репозитории редхата сломали что-то в Alt Linux. Когда до Вас дойдёт, что обозначает "непривилегированная сборка чрута" -- перечитайте, пожалуйста, ещё разик.  А они как тогда глупость сделали, так и сейчас следующим ходом в неё вляпаются по этому тикету, похоже... > 5 баллов!
	Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

20. "В Fedora рассматривается переход к обязательной доступности ..."	+/–
Сообщение от user (??) on 15-Ноя-14, 00:27
Для пакетов из стандартного репозитория это не бред, но для fhs сразу нафиг.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "В Fedora рассматривается переход к обязательной доступности ..."	+2 +/–
Сообщение от Аноним (??) on 15-Ноя-14, 07:58
Проблему федроки не понял, пока не вижу необходимости вникать в дебри. Но хочу высказать своё мнения по поводу предоставлениия всем прав на чтение в /usr: 1. Список файлов на которых установлен супербит и нельзя к ним давать доступ на чтение пользователям:   find /usr -type f \( -perm -004000 -o -perm -002000 \) -exec ls -lg {} \; Если в федорки решатся на сию глупость то пользователям лучше с этих файлов убрать супербит chmod -s. Но тогда некоторые проги перестанут работать... Какие права поставлят, например, на файл: $ ls -l /usr/bin/gpasswd -rws--x--x 1 root root 79200 мая   31 18:07 /usr/bin/gpasswd 2. Кажется они вовсе не в ту сторону копают.. Должно быть: / и /usr только на чтение, ибо содержат исполняемые файлы /tmp, /var, /home запрет исполнения, ибо содержат изменяемые файлы. и для пущей пезопасности можно использовать TPE https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	31. "В Fedora рассматривается переход к обязательной доступности ..."	–2 +/–
	Сообщение от cmp (ok) on 15-Ноя-14, 15:12
	Согласен. Сначала /bin /lib в /usr перенесли, теперь весь /usr на чтение открыть, всякие selinux понапихали, нет что бы глобально переработать структуру фс системы, задолбали эти /media /opt и /srv пихать. По быстрому развернуть сервак с бд - хрен, сиди выпиливай ее из /var чтобы myisam не помер когда что-то в логи нагадит, сколько лет уже юниксу, а они все костыли лепят. в /var зайти страшно, каждая прога там чета оставила, то папку для chroot для ssh, то для named минимальное окружение, и там же кэш yum, и логи, и бд, и права там не дай бог не те, задолбаешься искать в чем проблема. Хотя логично, если две непримеримые (не совместимые) сущности существуют бок о бок достаточно долго, то со временем граница стирается, 7ка скопированная с раздела на раздел сохраняет работоспособность и тузлы от винды к винде консольные появляются и документация, а линукс мутнеет от релиза к релизу, никто не хочет заморачиваться на нормальное решение, рубят с барского плеча - весь /usr всем на все че уж мелочится-то.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	35. "В Fedora рассматривается переход к обязательной доступности ..."	+3 +/–
	Сообщение от Michael Shigorin (ok) on 15-Ноя-14, 15:50
	> сиди выпиливай ее из /var чтобы myisam не помер когда что-то в логи нагадит /var/log в сторонку придумали уже давно. [snip]
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

	58. "В Fedora рассматривается переход к обязательной доступности ..."	+/–
	Сообщение от cmp (ok) on 17-Ноя-14, 00:57
	Костылище, и ротация логов которая демоны перезапускает костылище, кому если не федоре ака редхату подсилу перепачить всяких зверьков аля tftpd чтобы они работали через syslog, а не писали тупо в файл. Тем более, что они и так весьма основательно патчат сорцы перед компиляцией и формированием rpm. Унифицировать демонов, и не понадобится всяких системд, но конечно прикрутить костыль проще. На прошлой недели обновлял центос c 6.5 до 6.6, и чтобы вы думали - yum - питон - ошибка сегментации памяти, какая прелесть, кстате именно коредампы питона и засрали /var раздел, логи конечно тоже, но тем не менее шел 21 век.
	Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

	59. "В Fedora рассматривается переход к обязательной доступности ..."	+/–
	Сообщение от DeadLoco (ok) on 17-Ноя-14, 05:27
	> сиди выпиливай ее из /var чтобы myisam не помер когда что-то в логи нагадит, сколько лет уже юниксу, а они все костыли лепят. Собсно, /var - единственное место, куда логично по умолчанию впихнуть штуки, вроде почты, логов, БД, кешей проксей, не зная ничего о предпочтениях юзеров относительно партиций. И первое, что должен сделать админ после установки соотв. софта - это перенести большегрузные каталоги в сухое теплое темное место. А дальше уже по вкусу - либо поправить пути в конфигах, либо сделать линки с нового места на старое.
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

	61. "В Fedora рассматривается переход к обязательной доступности ..."	+/–
	Сообщение от Денис (??) on 17-Ноя-14, 16:33
	> Какие права поставлят, например, на файл: > $ ls -l /usr/bin/gpasswd > -rws--x--x 1 root root 79200 мая   31 18:07 /usr/bin/gpasswd а чо, какая проблема? у меня в дебиан: -rwsr-xr-x 1 root 68024 май 26  2012 /usr/bin/gpasswd по умолчанию доступен на чтение... даже если нет, ЧТО такого секретного хранится в бинарнике /usr/bin/gpasswd, что это нужно скрыть от простого юзера?
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

26. "В Fedora рассматривается переход к обязательной доступности ..."	+1 +/–
Сообщение от Аноним (??) on 15-Ноя-14, 08:21
Полный список файлов на которые федорковци хотят изменить права: find /usr/ -type f -perm /u+r,g+r ! -perm /o+r -exec ls -lg {} \; Кроме выше сказаного с супербит сие также разрешит всем запускать игрушки, по умолчанию игрушки можно запускать только пользователям с групы games. Возможно пробьёт ещё пару дыр в безопасности.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	28. "В Fedora рассматривается переход к обязательной доступности ..."	+/–
	Сообщение от Аноним (??) on 15-Ноя-14, 10:30
	будем знать что собираются портить:   find /usr/ -type f ! -perm /o+r -exec ls -lg {} \; > fedorka_usr_perm.txt
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	29. "В Fedora рассматривается переход к обязательной доступности ..."	+/–
	Сообщение от Аноним (??) on 15-Ноя-14, 10:31
	Также:    find /usr/ -type d ! -perm /o+r -exec ls -ldg > {} \; > fedorka_usr_perm.txt
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	53. "В Fedora рассматривается переход к обязательной доступности ..."	–1 +/–
	Сообщение от Xasd (ok) on 16-Ноя-14, 19:25
	> ... по умолчанию игрушки можно запускать только пользователям с групы games. > > Возможно пробьёт ещё пару дыр в безопасности. то есть теперь игрушки смогут запускать все кто хотят? вот это дырень! (сарказм:))
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	60. "В Fedora рассматривается переход к обязательной доступности ..."	+/–
	Сообщение от Аноним (??) on 17-Ноя-14, 11:33
	> по умолчанию игрушки можно запускать только пользователям с групы games Насколько я знаю, это только в генте так.
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	62. "В Fedora рассматривается переход к обязательной доступности ..."	+/–
	Сообщение от Денис (??) on 17-Ноя-14, 16:37
	> Полный список файлов на которые федорковци хотят изменить права: > find /usr/ -type f -perm /u+r,g+r ! -perm /o+r -exec ls -lg > {} \; # find /usr/ -type f -perm /u+r,g+r ! -perm /o+r -exec ls -lg {} \; -rwx------ 1 root 26992 апр  2  2012 /usr/lib/cups/backend/cups-pdf # ПАНИКА! ПАНИКА!!! > Кроме выше сказаного с супербит сие также разрешит всем запускать игрушки, по > умолчанию игрушки можно запускать только пользователям с групы games. > Возможно пробьёт ещё пару дыр в безопасности. "рассмотрено предложение по введению требований по обязательной доступности на чтение всех файлов и директорий иерархии /usr" с каких пор доступ на чтение разрешает запуск?
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

30. "В Fedora рассматривается переход к обязательной доступности ..."	+5 +/–
Сообщение от AAA (??) on 15-Ноя-14, 15:11
"systemd --test works much better if systemd can read the relevant parts of /usr. " https://fedorahosted.org/fpc/ticket/467 что всегда радует в этом вашем systemd - это грамотные технические аргументы: сказали "much better" и всё, действительно, всё работает "Намного Лучше"...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "В Fedora рассматривается переход к обязательной доступности ..."	–1 +/–
Сообщение от Аноним (??) on 15-Ноя-14, 16:17
А Alt Linux всё в там же.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	37. "В Fedora рассматривается переход к обязательной доступности ..."	–2 +/–
	Сообщение от Michael Shigorin (ok) on 15-Ноя-14, 16:29
	> А ALT Linux всё там же. Должно же хоть что-то работать.
	Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

	39. "В Fedora рассматривается переход к обязательной доступности ..."	–1 +/–
	Сообщение от Аноним (??) on 15-Ноя-14, 19:05
	Какой смысл помогать Альт Линуксу, если с таким же успехом можно помогать Федоре или Убунте; "с таким же успехом", потому что всё равно вся работа напрасна, вы и сами это отлично понимаете. В чём смысл тогда для вас лично? Главное сам процесс, ведь так?
	Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

	40. "В Fedora рассматривается переход к обязательной доступности ..."	+2 +/–
	Сообщение от Michael Shigorin (ok) on 15-Ноя-14, 20:40
	> "с таким же успехом", потому что всё равно вся работа напрасна, > вы и сами это отлично понимаете. Вы уже перестали бить воспитательницу по утрам? > В чём смысл тогда для вас лично? Раз берётесь "понимать" за меня -- мой ответ Вам неинтересен.  Научитесь разговаривать -- приходите, обсудим.
	Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

	42. "В Fedora рассматривается переход к обязательной доступности ..."	+/–
	Сообщение от Аноним (??) on 15-Ноя-14, 21:26
	>Должно же хоть что-то работать. Кстати, какие планы по системе инициализации?
	Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

	45. "В Fedora рассматривается переход к обязательной доступности ..."	–1 +/–
	Сообщение от Michael Shigorin (ok) on 15-Ноя-14, 23:45
	> Кстати, какие планы по системе инициализации? altlinux.org/systemd altlinux.org/sysvinit
	Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

	48. "В Fedora рассматривается переход к обязательной доступности ..."	–1 +/–
	Сообщение от Аноним (??) on 16-Ноя-14, 13:44
	То есть вопрос с переходом на systemd решён?
	Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

	55. "В Fedora рассматривается переход к обязательной доступности ..."	+1 +/–
	Сообщение от Michael Shigorin (ok) on 16-Ноя-14, 22:10
	> То есть вопрос с переходом на systemd решён? То есть можно применять и то, и то.  По части systemd есть ряд проблем, решённых в федоре, и нету ряда проблем, добавленных там (вроде оторванных ethX); по части sysvinit главным камнем преткновения остаётся polkit, если не нужен или не жалко порезать ему аутентификацию, как описано -- работает себе, а так sem@ посматривает на systemd-shim и предыдущие подходы к снаряду. PS: часть официальных сборок делается с sysvinit: altlinux.org/starterkits#livecd -- достаточно несложно делать такие и с TDE/E17, т.к. эти среды довольно сильно автономны.
	Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

50. "В Fedora рассматривается переход к обязательной доступности ..."	+/–
Сообщение от Аноним (??) on 16-Ноя-14, 15:56
Alt Linux навсегда: # hddtemp /dev/sda bash: hddtemp: команда не найдена # /usr/sbin/hddtemp /dev/sda ВНИМАНИЕ: Диск /dev/sda не включен в базу данных поддерживаемых приводов. ВНИМАНИЕ: Но с использованием распространенных параметров он что-то выдает. ВНИМАНИЕ: Заметьте, что показанная температура может таковой не являться. ВНИМАНИЕ: См. опции --help, --debug и --drivebase. ВНИМАНИЕ: И не забудьте, что можно добавить привод в hddtemp.db
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	52. "В Fedora рассматривается переход к обязательной доступности ..."	+2 +/–
	Сообщение от pavlinux (ok) on 16-Ноя-14, 16:44
	> Alt Linux навсегда: > # hddtemp /dev/sda > bash: hddtemp: команда не найдена > # /usr/sbin/ 1. Курить доки по UNIX на тему /sbin и /usr/sbin и почему не рекомендуется включать их в PATH 2. Имея рута, ныть на эту тему могут только последние лошопеды.
	Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

	56. "В Fedora рассматривается переход к обязательной доступности ..."	+1 +/–
	Сообщение от Michael Shigorin (ok) on 16-Ноя-14, 22:28
	> Alt Linux навсегда: Не, ничто не вечно под луною. > # hddtemp /dev/sda > bash: hddtemp: команда не найдена Вы привыкли к кривому нестандартному su, в альте соответствующее стандартам (и в силу того, что все действительно не в ногу -- это частый камень преткновения): http://altlinux.org/su Сравните выхлоп su -c 'echo $PATH' и su - -c 'echo $PATH' > # /usr/sbin/hddtemp /dev/sda > ВНИМАНИЕ: Диск /dev/sda не включен в базу данных поддерживаемых приводов. Мы её достаточно долго пополняли автономно (и слали патчи в апстрим), но проект уже несколько лет как по факту не принимает патчи, а это предупреждение можно пропустить мимо ушей; если хотите, почитайте документацию в пакете и пришлите данные/повесте в альт багу, сделаю. PS: http://bugzilla.altlinux.org/hddtemp Впрочем, с таким предлагаю пойти в какую-нить тему про альт, чтоб не спамить коллегам в теме про федору.  Например, сюда: http://www.opennet.ru/opennews/art.shtml?num=40834 (спасибо за напоминание, добавил пакет в ALT Linux Rescue).
	Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема