В Птн, 12/12/2008 в 14:15 +0300, Artem Chuprina пишет: > Покотиленко Костик -> debian-russian@lists.debian.org @ Wed, 10 Dec 2008 > 19:11:28 +0200: > > ПК> Скажи прямо, почему угробить сервер (вариант со взломом) - хрен с > ПК> ним, а получить пользователя на компе, который бэкапы хранит - > ПК> недопустимо? > > Данные в локалке - ценнее. > > ПК> Я почему-то считаю, что в рамках нормальной рабочей жизни сервера, > ПК> производить соединения сервер->куда-нибудь безопаснее, чем > ПК> от-куда-нибудь->сервер, хотя и ловлю себя на мысли, что не могу > ПК> объяснить почему. > > В размышлениях о безопасности так нельзя. Интуиция у человека, который > не занимается ею несколько лет профессионально, не работает совсем. У > профессионала - работает, но хреново. Т.е. когда профессионал чует > жопой проблему, он делает стойку. Когда он не чует - он считает, что он > чего-то не заметил. А на сравнение интуиция не работает и у > профессионала. > > >> >> Если "работающая" - это не оправдание усложнения, то что может быть > оправданием? > >> > >> ПК> Оправдание. Только если есть несколько вариантов сделать систему > >> ПК> "работающей", почему бы не выбрать тот, который: тянет меньше > >> ПК> последствий, предрасполагает к дисциплине, потенциально менее опасен? > >> > >> Ну, для начала ты все же говорил о неоправданном _усложнении_. Впрочем, > >> sudo еще и больше предрасполагает к дисциплине, и менее опасен. Если > >> таки проанализировать всю модель угроз, а не те полтора следствия, > >> которые кто-то случайно заметил. > > ПК> Давай анализировать. > > >> ПК> При всём при этом sudo *может* быть более простым вариантом в > >> ПК> первоначальной настройки, если не принимать во внимание последующее > >> ПК> обслуживание. > >> > >> И в обслуживании тоже. Чтобы отобрать у человека права на конкретной > >> машине, мне достаточно вычистить его из sudoers. Если у него там su, > >> т.е. знание рутового пароля - мне надо поменять пароль и быстро сообщить > >> его всем, кому его положено знать. Если это более простой вариант, то > >> что такое более сложный? > > ПК> Вопрос про su не стоит, su - это рут, на нём и ответственность. Sudo - > ПК> это недо-рут, и ответственность на нём [какая на нём ответственность?]. > > sudo с ALL - это рут. На нем и ответственность. Что сделано - в логе, > если не было злого умысла, как правило, можно восстановить, кто что > делал.
Если не было... "sudo с ALL" я всегда делал по другому: заводил нового пользователя а-ля fedya-root c UID=0. В логах светится fedya-root, реально это рут, пароли разные, без лишних сущьностей. Надо забрать рута - удали fedya-root, пароли переучивать всем не надо. Вообще если пароль знает >1 человека, это не пароль а так. > sudo на конкретную команду - недорут. Ответственность за факт > выполнения этой команды - на человеке, которому дано на это право (если > это робот - на авторе робота), ответственность за то, что эта команда > делает больше, чем задумано - на админе. Факт выполнения - в логе. Все > очень четко. Сложно это. > ПК> Давая команду под sudo, какую ответственность ты налагаешь? Боюсь, > ПК> что никакую, ибо облом держать таблицу ответственностей с галочками > ПК> напротив каждой исполняемой команды. > > Таблица ответственности - ты не поверишь, все тот же файл /etc/sudoers. > Там все написано. И все действия в соответствии с оной таблицей > запротоколированы. > > >> Если мне надо дать возможность (плюс-минус любому) юзеру передернуть, > >> допустим, принт-сервер, я пишу скрипт и пишу в sudoers > >> > >> %users (ALL) = NOPASSWD: /that/script > >> > >> Покажи мне более простое и не более опасное решение. > > ПК> По моему проще разобраться, и сделать так чтобы не надо было > ПК> передёргивать. > > Такое решение, опять же, может оказаться и более сложным, и более > опасным, и вообще велосипедом с квадратными колесами. Ну, принт-сервер > - дело такое, его может быть надо передергивать, если драйвера принтера > кривые (разобраться, говоришь? попробуй...). Простое решение: автоматизировать процесс передёргивания, думаю это не сложно. > А вот, скажем, апач свои > конфиги перечитывает только по пинку, которого ему без рутовых > полномочий не дашь. Веб-программисту пинать апач, натурально, положено. Зачем? > И положить/поднять тоже. Чем будем заменять sudo? suid-бинарником? SUID - это тот же костыль, только другой. -- Покотиленко Костик <cas...@meteor.dp.ua> -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org