The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Fedora рассматривается переход к обязательной доступности на чтение всех файлов /usr

14.11.2014 18:26

На заседании комитета FESCo (Fedora Engineering Steering Committee), отвечающего за техническую часть разработки дистрибутива Fedora Linux, рассмотрено предложение по введению требований по обязательной доступности на чтение всех файлов и директорий иерархии /usr. В качестве причины введения общей доступности на чтение всех файлов /usr, называется необходимость полного доступа к содержимому /usr при построении изолированных контейнеров с использованием непривилегированных процессов (контейнер и утилиты сопровождения должны иметь доступ ко всем данным /usr без необходимости получения прав root).

Кроме того, предлагается распространять все файлы пакетов, не связанные с конфигурацией и изменяемыми в процессе работы данными, под пользователем и группой root с возможностью записи только пользователем root. Исключения, позволяющие распространение от других групп и пользователей, может быть предоставлено только из соображений обеспечения безопасности при должном аргументировании такой необходимости. Окончательное решение пока не принято, проект изменения правил находится на стадии рецензирования.

  1. Главная ссылка к новости (https://lists.fedoraproject.or...)
  2. OpenNews: Для Fedora 17 одобрен перенос компонентов из корня в /usr и переход на Btrfs
  3. OpenNews: Переход по умолчанию на Wayland произойдёт не раньше выпуска Fedora 23
  4. OpenNews: Для Fedora Linux создан репозиторий для тестирования новинок в ядре Linux
  5. OpenNews: Состояние поддержки Wayland в Fedora 21
  6. OpenNews: Началось тестирование бета-версии Fedora 21
Лицензия: CC-BY
Тип: Обобщение
Короткая ссылка: https://opennet.ru/41062-fedora
Ключевые слова: fedora
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (38) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.7, Ilya Indigo (ok), 19:54, 14/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Просветите. Зачем нужно вообще именно в /usr, не в /root /home /etc, ограничивать привилегии на чтение?
    Не ужели для /usr/share/doc/ и /usr/share/man/?
     
     
  • 2.9, pxel (?), 20:05, 14/11/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    /usr/local - ниочём не говорит?
     
     
  • 3.10, Ilya Indigo (ok), 20:14, 14/11/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Говорит.
    Во времена, когда не было больших винтов, /usr была общей папкой перемонтированной с мега-хранилища, но каждый комп в отдельности имел свою /usr/local, в которой он хранил свои собственные либы и бинарники, нужные только ему.
    В наши времена больших винтов, /usr/local используется как путь по умолчания для собственных сборок, что бы не смешивать их с бинарниками и либами, устанавливаемыми через репозитории или rpm/deb пакеты.
    Только вот это мне ничего не проясняет и на вопрос, зачем ограничивать на это доступ для чтения, не отвечает.
     
     
  • 4.16, pxeL (?), 22:25, 14/11/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Ну, если честно - не помню точно, могу собственными словами только по юникс-вей... большой текст свёрнут, показать
     
     
  • 5.47, Аноним (-), 04:01, 16/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Демон в изолированном контейнере маунтит /usr

    Маунтить он могет без рута, а прочитать не могет. Оригинально )))

     
  • 4.51, pavlinux (ok), 16:37, 16/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > В наши времена больших винтов, /usr/local используется как путь по умолчания для ...

    # ls -la /usr/local
    ls: cannot access /usr/local: No such file or directory

     
  • 2.11, Аноним (-), 20:22, 14/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Почему не /nix/store? Ну, не созрели, наверно, ещё :-)
     
     
  • 3.15, Аноним (-), 22:18, 14/11/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    /nihstor  же! :)
     
  • 2.32, fi (ok), 15:19, 15/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    наследственность от старых unix, в том же /usr/etc/ могут быть конфиги, плюс часть прог могут иметь чтение/исполнение не для всех, например '/usr/sbin/suexec' - его нужно будет куда-нибудь перенести.
     

  • 1.12, Аноним (-), 20:54, 14/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    казалось бы все правильно и логично.
     
  • 1.19, Michael Shigorin (ok), 23:39, 14/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    https://bugzilla.redhat.com/show_bug.cgi?id=517575
     
     
  • 2.41, XoRe (ok), 21:13, 15/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > https://bugzilla.redhat.com/show_bug.cgi?id=517575

    Т.е. посоны пилят что-то для ред хата.
    Тут заходит Шигорин и объясняет, что они, козлы такие, своими правками в репозитории редхата сломали что-то в Alt Linux.
    5 баллов!

     
     
  • 3.46, Michael Shigorin (ok), 23:47, 15/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> https://bugzilla.redhat.com/show_bug.cgi?id=517575
    > Т.е. посоны пилят что-то для ред хата.
    > Тут заходит Шигорин и объясняет, что они, козлы такие, своими правками в
    > репозитории редхата сломали что-то в Alt Linux.

    Когда до Вас дойдёт, что обозначает "непривилегированная сборка чрута" -- перечитайте, пожалуйста, ещё разик.  А они как тогда глупость сделали, так и сейчас следующим ходом в неё вляпаются по этому тикету, похоже...

    > 5 баллов!

     

  • 1.20, user (??), 00:27, 15/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для пакетов из стандартного репозитория это не бред, но для fhs сразу нафиг.
     
  • 1.25, Аноним (-), 07:58, 15/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Проблему федроки не понял, пока не вижу необходимости вникать в дебри Но хочу в... большой текст свёрнут, показать
     
     
  • 2.31, cmp (ok), 15:12, 15/11/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Согласен.

    Сначала /bin /lib в /usr перенесли, теперь весь /usr на чтение открыть, всякие selinux понапихали, нет что бы глобально переработать структуру фс системы, задолбали эти /media /opt и /srv пихать. По быстрому развернуть сервак с бд - хрен, сиди выпиливай ее из /var чтобы myisam не помер когда что-то в логи нагадит, сколько лет уже юниксу, а они все костыли лепят.

    в /var зайти страшно, каждая прога там чета оставила, то папку для chroot для ssh, то для named минимальное окружение, и там же кэш yum, и логи, и бд, и права там не дай бог не те, задолбаешься искать в чем проблема.


    Хотя логично, если две непримеримые (не совместимые) сущности существуют бок о бок достаточно долго, то со временем граница стирается, 7ка скопированная с раздела на раздел сохраняет работоспособность и тузлы от винды к винде консольные появляются и документация, а линукс мутнеет от релиза к релизу, никто не хочет заморачиваться на нормальное решение, рубят с барского плеча - весь /usr всем на все че уж мелочится-то.

     
     
  • 3.35, Michael Shigorin (ok), 15:50, 15/11/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > сиди выпиливай ее из /var чтобы myisam не помер когда что-то в логи нагадит

    /var/log в сторонку придумали уже давно.

    [snip]

     
     
  • 4.58, cmp (ok), 00:57, 17/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Костылище, и ротация логов которая демоны перезапускает костылище, кому если не федоре ака редхату подсилу перепачить всяких зверьков аля tftpd чтобы они работали через syslog, а не писали тупо в файл. Тем более, что они и так весьма основательно патчат сорцы перед компиляцией и формированием rpm. Унифицировать демонов, и не понадобится всяких системд, но конечно прикрутить костыль проще.

    На прошлой недели обновлял центос c 6.5 до 6.6, и чтобы вы думали - yum - питон - ошибка сегментации памяти, какая прелесть, кстате именно коредампы питона и засрали /var раздел, логи конечно тоже, но тем не менее шел 21 век.


     
  • 3.59, DeadLoco (ok), 05:27, 17/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > сиди выпиливай ее из /var чтобы myisam не помер когда что-то в логи нагадит, сколько лет уже юниксу, а они все костыли лепят.

    Собсно, /var - единственное место, куда логично по умолчанию впихнуть штуки, вроде почты, логов, БД, кешей проксей, не зная ничего о предпочтениях юзеров относительно партиций. И первое, что должен сделать админ после установки соотв. софта - это перенести большегрузные каталоги в сухое теплое темное место. А дальше уже по вкусу - либо поправить пути в конфигах, либо сделать линки с нового места на старое.

     
  • 2.61, Денис (??), 16:33, 17/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Какие права поставлят, например, на файл:
    > $ ls -l /usr/bin/gpasswd
    > -rws--x--x 1 root root 79200 мая   31 18:07 /usr/bin/gpasswd

    а чо, какая проблема? у меня в дебиан:
    -rwsr-xr-x 1 root 68024 май 26  2012 /usr/bin/gpasswd

    по умолчанию доступен на чтение...

    даже если нет, ЧТО такого секретного хранится в бинарнике /usr/bin/gpasswd, что это нужно скрыть от простого юзера?

     

  • 1.26, Аноним (-), 08:21, 15/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Полный список файлов на которые федорковци хотят изменить права:

    find /usr/ -type f -perm /u+r,g+r ! -perm /o+r -exec ls -lg {} \;

    Кроме выше сказаного с супербит сие также разрешит всем запускать игрушки, по умолчанию игрушки можно запускать только пользователям с групы games.

    Возможно пробьёт ещё пару дыр в безопасности.

     
     
  • 2.28, Аноним (-), 10:30, 15/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    будем знать что собираются портить:

      find /usr/ -type f ! -perm /o+r -exec ls -lg {} \; > fedorka_usr_perm.txt

     
     
  • 3.29, Аноним (-), 10:31, 15/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Также:

       find /usr/ -type d ! -perm /o+r -exec ls -ldg > {} \; > fedorka_usr_perm.txt


     
  • 2.53, Xasd (ok), 19:25, 16/11/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > ... по умолчанию игрушки можно запускать только пользователям с групы games.
    >
    > Возможно пробьёт ещё пару дыр в безопасности.

    то есть теперь игрушки смогут запускать все кто хотят? вот это дырень!

    (сарказм:))

     
  • 2.60, Аноним (-), 11:33, 17/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > по умолчанию игрушки можно запускать только пользователям с групы games

    Насколько я знаю, это только в генте так.

     
  • 2.62, Денис (??), 16:37, 17/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Полный список файлов на которые федорковци хотят изменить права:
    > find /usr/ -type f -perm /u+r,g+r ! -perm /o+r -exec ls -lg
    > {} \;

    # find /usr/ -type f -perm /u+r,g+r ! -perm /o+r -exec ls -lg {} \;
    -rwx------ 1 root 26992 апр  2  2012 /usr/lib/cups/backend/cups-pdf
    #

    ПАНИКА! ПАНИКА!!!

    > Кроме выше сказаного с супербит сие также разрешит всем запускать игрушки, по
    > умолчанию игрушки можно запускать только пользователям с групы games.
    > Возможно пробьёт ещё пару дыр в безопасности.

    "рассмотрено предложение по введению требований по обязательной доступности [b]на чтение[/b] всех файлов и директорий иерархии /usr"
    с каких пор доступ на чтение разрешает запуск?

     

  • 1.30, AAA (??), 15:11, 15/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    "systemd --test works much better if systemd can read the relevant parts of /usr. "
    https://fedorahosted.org/fpc/ticket/467

    что всегда радует в этом вашем systemd - это грамотные технические аргументы: сказали "much better" и всё, действительно, всё работает "Намного Лучше"...

     
  • 1.36, Аноним (-), 16:17, 15/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А Alt Linux всё в там же.
     
     
  • 2.37, Michael Shigorin (ok), 16:29, 15/11/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А ALT Linux всё там же.

    Должно же хоть что-то работать.

     
     
  • 3.39, Аноним (-), 19:05, 15/11/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Какой смысл помогать Альт Линуксу, если с таким же успехом можно помогать Федоре или Убунте; "с таким же успехом", потому что всё равно вся работа напрасна, вы и сами это отлично понимаете.
    В чём смысл тогда для вас лично?

    Главное сам процесс, ведь так?

     
     
  • 4.40, Michael Shigorin (ok), 20:40, 15/11/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > "с таким же успехом", потому что всё равно вся работа напрасна,
    > вы и сами это отлично понимаете.

    Вы уже перестали бить воспитательницу по утрам?

    > В чём смысл тогда для вас лично?

    Раз берётесь "понимать" за меня -- мой ответ Вам неинтересен.  Научитесь разговаривать -- приходите, обсудим.

     
  • 3.42, Аноним (-), 21:26, 15/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >Должно же хоть что-то работать.

    Кстати, какие планы по системе инициализации?

     
     
  • 4.45, Michael Shigorin (ok), 23:45, 15/11/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Кстати, какие планы по системе инициализации?

    altlinux.org/systemd
    altlinux.org/sysvinit

     
     
  • 5.48, Аноним (-), 13:44, 16/11/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То есть вопрос с переходом на systemd решён?
     
     
  • 6.55, Michael Shigorin (ok), 22:10, 16/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > То есть вопрос с переходом на systemd решён?

    То есть можно применять и то, и то.  По части systemd есть ряд проблем, решённых в федоре, и нету ряда проблем, добавленных там (вроде оторванных ethX); по части sysvinit главным камнем преткновения остаётся polkit, если не нужен или не жалко порезать ему аутентификацию, как описано -- работает себе, а так sem@ посматривает на systemd-shim и предыдущие подходы к снаряду.

    PS: часть официальных сборок делается с sysvinit: altlinux.org/starterkits#livecd -- достаточно несложно делать такие и с TDE/E17, т.к. эти среды довольно сильно автономны.

     

  • 1.50, Аноним (-), 15:56, 16/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Alt Linux навсегда:

    # hddtemp /dev/sda
    bash: hddtemp: команда не найдена
    # /usr/sbin/hddtemp /dev/sda
    ВНИМАНИЕ: Диск /dev/sda не включен в базу данных поддерживаемых приводов.
    ВНИМАНИЕ: Но с использованием распространенных параметров он что-то выдает.
    ВНИМАНИЕ: Заметьте, что показанная температура может таковой не являться.
    ВНИМАНИЕ: См. опции --help, --debug и --drivebase.
    ВНИМАНИЕ: И не забудьте, что можно добавить привод в hddtemp.db

     
     
  • 2.52, pavlinux (ok), 16:44, 16/11/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Alt Linux навсегда:
    > # hddtemp /dev/sda
    > bash: hddtemp: команда не найдена
    > # /usr/sbin/

    1. Курить доки по UNIX на тему /sbin и /usr/sbin и почему не рекомендуется включать их в PATH
    2. Имея рута, ныть на эту тему могут только последние лошопеды.    

     
  • 2.56, Michael Shigorin (ok), 22:28, 16/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Alt Linux навсегда:

    Не, ничто не вечно под луною.

    > # hddtemp /dev/sda
    > bash: hddtemp: команда не найдена

    Вы привыкли к кривому нестандартному su, в альте соответствующее стандартам (и в силу того, что все действительно не в ногу -- это частый камень преткновения): http://altlinux.org/su

    Сравните выхлоп [CODE]su -c 'echo $PATH'[/CODE] и [CODE]su - -c 'echo $PATH'[/CODE]

    > # /usr/sbin/hddtemp /dev/sda
    > ВНИМАНИЕ: Диск /dev/sda не включен в базу данных поддерживаемых приводов.

    Мы её достаточно долго пополняли автономно (и слали патчи в апстрим), но проект уже несколько лет как по факту не принимает патчи, а это предупреждение можно пропустить мимо ушей; если хотите, почитайте документацию в пакете и пришлите данные/повесте в альт багу, сделаю. [I]PS: http://bugzilla.altlinux.org/hddtemp [/I]

    Впрочем, с таким предлагаю пойти в какую-нить тему про альт, чтоб не спамить коллегам в теме про федору.  Например, сюда: https://www.opennet.ru/opennews/art.shtml?num=40834 (спасибо за напоминание, добавил пакет в ALT Linux Rescue).

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру