Re: ro root
В сообщении от Понедельник, 24-Янв-2005 10:44 Dmitry-T написал(a): > On Sat, 22 Jan 2005 17:58:51 +0300 > > Artem Chuprina <[EMAIL PROTECTED]> wrote: > > Dmitry-T -> debian-russian@lists.debian.org @ Sat, 22 Jan 2005 18:39:32 +0400: > > >> >> При попытке сделать root ro выяснилось, что часть программ хочет > > >> >> писать в что-либо /etc. Например alsa, linuxlogo. Ещё вроде > > >> >> что-то было > > >> > > >> D> А зачем это нужно? Для защиты? Может тогда ro сделать только на > > >> D> /bin /sbin ? > > >> > > >> А как ты тогда грузиться будешь? С неподмонтированными-то /bin и > > >> /sbin? Самодельный mkinitrd, который создает initrd, способный не > > >> только / cмонтировать, но и /bin и /sbin? Потом, опять-таки, а /lib > > >> что, не надо? А там modules.dep... > > > > D> А если грузиться по обычному, а потом: > > D> mount -r -t ext3 /dev/hdb1 /bin/ > > D> естественно надо содержимое /bin скопировать в нужный раздел. > > D> у меня сейчас получилось, пытался в bin что-нибудь копировать - не > > даёт, D> теперь еще отмонтировать не хочет :) > > > > Во-во. Ты еще /lib сделай. Да-да, и чтобы modules.dep там был > > правильный... А для защиты /etc тоже защищать надо. Ибо иначе смысл? > > Нет, в основном ro / делают для защиты от сбоев питания (ro файловая > > система заведомо поднимется в консистентном состоянии), ибо хакер, > > получивший рута, может и в rw перемонтировать, либо же нужный процесс в > > памяти подменить. А уж /bin и /sbin в ro при rw /etc и тем более /lib - > > это вообще смех один... От сценарных руткитов, конечно, поможет (хотя, > > наверное, и не от всех), но от многих лишь частично - оно не сможет > > закрепиться, но сможет получить рута и об этом рассказать. > > для ro на /etc у mount есть: > -n Mount without writing in /etc/mtab. This is necessary for exam- > ple when /etc is on a read-only file system. > > но перемонтировать ro в rw действительно без проблем, так что для защиты > от крэкеров в ro немного польз [EMAIL PROTECTED]:~$ whereis mount mount: /bin/moun > > D> А если грузиться по обычному, а потом: > > D> mount -r -t ext3 /dev/hdb1 /bin/ > > D> естественно надо содержимое /bin скопировать в нужный раздел. И потом с этого нужного раздела удалить mount/umount. :-). Тогда потом труднее перемонтировать. (Разве что со своим моунтом ходить :-) -- ## Dmitry Nezhevenko (dion) <[EMAIL PROTECTED]> GnuPG Key 0xB5BCA66CMon Jan 24 15:32:38 2005 ##
Re: ro root
On Sat, 22 Jan 2005 17:58:51 +0300 Artem Chuprina <[EMAIL PROTECTED]> wrote: > Dmitry-T -> debian-russian@lists.debian.org @ Sat, 22 Jan 2005 18:39:32 > +0400: > > >> >> При попытке сделать root ro выяснилось, что часть программ хочет > >> >> писать в что-либо /etc. Например alsa, linuxlogo. Ещё вроде > >> >> что-то было > >> > >> D> А зачем это нужно? Для защиты? Может тогда ro сделать только на > >> D> /bin /sbin ? > >> > >> А как ты тогда грузиться будешь? С неподмонтированными-то /bin и /sbin? > >> Самодельный mkinitrd, который создает initrd, способный не только / > >> cмонтировать, но и /bin и /sbin? Потом, опять-таки, а /lib что, не > >> надо? А там modules.dep... > > D> А если грузиться по обычному, а потом: > D> mount -r -t ext3 /dev/hdb1 /bin/ > D> естественно надо содержимое /bin скопировать в нужный раздел. > D> у меня сейчас получилось, пытался в bin что-нибудь копировать - не даёт, > D> теперь еще отмонтировать не хочет :) > > Во-во. Ты еще /lib сделай. Да-да, и чтобы modules.dep там был > правильный... А для защиты /etc тоже защищать надо. Ибо иначе смысл? > Нет, в основном ro / делают для защиты от сбоев питания (ro файловая > система заведомо поднимется в консистентном состоянии), ибо хакер, > получивший рута, может и в rw перемонтировать, либо же нужный процесс в > памяти подменить. А уж /bin и /sbin в ro при rw /etc и тем более /lib - > это вообще смех один... От сценарных руткитов, конечно, поможет (хотя, > наверное, и не от всех), но от многих лишь частично - оно не сможет > закрепиться, но сможет получить рута и об этом рассказать. > для ro на /etc у mount есть: -n Mount without writing in /etc/mtab. This is necessary for exam- ple when /etc is on a read-only file system. но перемонтировать ro в rw действительно без проблем, так что для защиты от крэкеров в ro немного пользы. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
Dmitry-T -> debian-russian@lists.debian.org @ Sat, 22 Jan 2005 18:39:32 +0400: >> >> При попытке сделать root ro выяснилось, что часть программ хочет >> >> писать в что-либо /etc. Например alsa, linuxlogo. Ещё вроде >> >> что-то было >> >> D> А зачем это нужно? Для защиты? Может тогда ro сделать только на >> D> /bin /sbin ? >> >> А как ты тогда грузиться будешь? С неподмонтированными-то /bin и /sbin? >> Самодельный mkinitrd, который создает initrd, способный не только / >> cмонтировать, но и /bin и /sbin? Потом, опять-таки, а /lib что, не >> надо? А там modules.dep... D> А если грузиться по обычному, а потом: D> mount -r -t ext3 /dev/hdb1 /bin/ D> естественно надо содержимое /bin скопировать в нужный раздел. D> у меня сейчас получилось, пытался в bin что-нибудь копировать - не даёт, D> теперь еще отмонтировать не хочет :) Во-во. Ты еще /lib сделай. Да-да, и чтобы modules.dep там был правильный... А для защиты /etc тоже защищать надо. Ибо иначе смысл? Нет, в основном ro / делают для защиты от сбоев питания (ro файловая система заведомо поднимется в консистентном состоянии), ибо хакер, получивший рута, может и в rw перемонтировать, либо же нужный процесс в памяти подменить. А уж /bin и /sbin в ro при rw /etc и тем более /lib - это вообще смех один... От сценарных руткитов, конечно, поможет (хотя, наверное, и не от всех), но от многих лишь частично - оно не сможет закрепиться, но сможет получить рута и об этом рассказать. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
> >> При попытке сделать root ro выяснилось, что часть программ хочет писать > >> в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было > > D> А зачем это нужно? Для защиты? Может тогда ro сделать только на /bin > /sbin ? > > А как ты тогда грузиться будешь? С неподмонтированными-то /bin и /sbin? > Самодельный mkinitrd, который создает initrd, способный не только / > cмонтировать, но и /bin и /sbin? Потом, опять-таки, а /lib что, не > надо? А там modules.dep... А если грузиться по обычному, а потом: mount -r -t ext3 /dev/hdb1 /bin/ естественно надо содержимое /bin скопировать в нужный раздел. у меня сейчас получилось, пытался в bin что-нибудь копировать - не даёт, теперь еще отмонтировать не хочет :) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
Dmitry-T -> debian-russian@lists.debian.org @ Fri, 21 Jan 2005 12:24:30 +0400: >> При попытке сделать root ro выяснилось, что часть программ хочет писать >> в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было D> А зачем это нужно? Для защиты? Может тогда ro сделать только на /bin /sbin ? А как ты тогда грузиться будешь? С неподмонтированными-то /bin и /sbin? Самодельный mkinitrd, который создает initrd, способный не только / cмонтировать, но и /bin и /sbin? Потом, опять-таки, а /lib что, не надо? А там modules.dep... -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED]
Re: ro root
Dmitry-T -> debian-russian@lists.debian.org @ Fri, 21 Jan 2005 12:24:30 +0400: >> При попытке сделать root ro выяснилось, что часть программ хочет писать >> в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было D> А зачем это нужно? Для защиты? Может тогда ro сделать только на /bin /sbin ? А как ты тогда грузиться будешь? С неподмонтированными-то /bin и /sbin? Самодельный mkinitrd, который создает initrd, способный не только / cмонтировать, но и /bin и /sbin? Потом, опять-таки, а /lib что, не надо? А там modules.dep... -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Dmitry-T wrote: |>При попытке сделать root ro выяснилось, что часть программ хочет писать |>в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было | | | А зачем это нужно? Для защиты? Может тогда ro сделать только на /bin /sbin ? | | Да. И как ты предлагаешь это делать? А за одно я ещё и /etc ro хочу.. - -- Sergio. -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.5 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iQCVAwUBQfEX/5sR/RHJrAUrAQLIJQP+KHfHeFVMwozIbiMfAWJ2i6qbing8NM6P dEwapvcyWFFOXgI4Z5fSNccrK3vQvhKagZkN/sWxVa/5nfYW268ZraGm1Rag7JtC atLmEr5sU9LIAq+tNeyFsHt01KXcVZMvZ+vegsbHcWo9Yl82c9ypDrr8CCFB6UrP HgIlDKA0hSw= =ZqK0 -END PGP SIGNATURE-
Re: ro root
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Dmitry-T wrote: |>ÐÑÐ ÐÐÐÑÑÐÐ ÑÑÑ root ro ÐÑÑÑÑÑ, ÑÑÐ ÑÐÑÑÑ ÐÑÐÐÑÐÐÐ ÑÐÑÐÑ ÐÐÑÐÑÑ |>Ð ÑÑÐ- /etc. ÐÐÐÑÐÐÐÑ alsa, linuxlogo. ÐÑÑ ÐÑÐÐÐ ÑÑÐ-ÑÐ ÐÑÐÐ | | | Ð ÐÐÑÐÐ ÑÑÐ ÐÑÐÐÐ? ÐÐÑ ÐÐÑÐÑÑ? Ñ Ñ ro ÑÑÑ ÑÐÐÑÐÐ ÐÐ /bin /sbin ? | | ÐÐ. Ð ÐÐÐ ÑÑ ÐÑÐÐÐÑÑ ÑÑÐ ÑÑ? Ð ÐÐ Ñ ÐÑÑ Ð /etc ro ÑÐÑÑ.. - -- Sergio. -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.5 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iQCVAwUBQfEX/5sR/RHJrAUrAQLIJQP+KHfHeFVMwozIbiMfAWJ2i6qbing8NM6P dEwapvcyWFFOXgI4Z5fSNccrK3vQvhKagZkN/sWxVa/5nfYW268ZraGm1Rag7JtC atLmEr5sU9LIAq+tNeyFsHt01KXcVZMvZ+vegsbHcWo9Yl82c9ypDrr8CCFB6UrP HgIlDKA0hSw= =ZqK0 -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
On Wed, Jan 19, 2005 at 01:28:36PM +0300, Artem Chuprina wrote: > >> А вот что там alsa забыла - вопрос сложный... > MS> /etc/asoundrc, вестимо. > No such file or directory. А это мысль. Надо и в апстрим бы багу повесить -- оно ж состояние, а не конфиг. > >> При сетапе - понятно, конфиг... Кстати, к вопросу о / в ro > >> - есть еще depmod, и он порой только после загрузки с новым > >> ядром может написать правильно. modules.dep - они тоже на > >> /. > MS> А с hotplug вообще всё плохо... > В /etc/hotplug нашелся только один файл, датированный 2005 > годом - net.enable. Hibernate я точно настраивал в 2005. Хех. Не знаю этимологию слова updfstab, но в отдельно взятых дистрибутивах (не будем показывать пальцем в подпись) оно возмогалось писать, а регулярно -- пороть, /etc/fstab... -- WBR, Michael Shigorin <[EMAIL PROTECTED]> -- Linux.Kiev http://www.linux.kiev.ua/
Re: ro root
> При попытке сделать root ro выяснилось, что часть программ хочет писать > в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было А зачем это нужно? Для защиты? Может тогда ro сделать только на /bin /sbin ?
Re: ro root
On Wed, Jan 19, 2005 at 01:28:36PM +0300, Artem Chuprina wrote: > >> А вот что там alsa забыла - вопрос сложный... > MS> /etc/asoundrc, вестимо. > No such file or directory. А это мысль. Надо и в апстрим бы багу повесить -- оно ж состояние, а не конфиг. > >> При сетапе - понятно, конфиг... Кстати, к вопросу о / в ro > >> - есть еще depmod, и он порой только после загрузки с новым > >> ядром может написать правильно. modules.dep - они тоже на > >> /. > MS> А с hotplug вообще всё плохо... > В /etc/hotplug нашелся только один файл, датированный 2005 > годом - net.enable. Hibernate я точно настраивал в 2005. Хех. Не знаю этимологию слова updfstab, но в отдельно взятых дистрибутивах (не будем показывать пальцем в подпись) оно возмогалось писать, а регулярно -- пороть, /etc/fstab... -- WBR, Michael Shigorin <[EMAIL PROTECTED]> -- Linux.Kiev http://www.linux.kiev.ua/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
> При попытке сделать root ro выяснилось, что часть программ хочет писать > в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было А зачем это нужно? Для защиты? Может тогда ro сделать только на /bin /sbin ? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
Dmitri V. Ivanov wrote: > Обьясните это ldconfig-у и ld.so (загрузчик динамически слинкованных да не буду я никому ничего объяснять, что вы пристали -- Regards, Al Nikolov
Re: ro root
Artem Chuprina wrote: > MS> А с hotplug вообще всё плохо... > > В /etc/hotplug нашелся только один файл, датированный 2005 годом - > net.enable. Hibernate я точно настраивал в 2005. да не вопрос. на машине с однажды случайно подмонтированным subj вообще не нашлось ни одного свежего файла в /etc/hotplug*, тем не менее, ругани в тот раз при загрузке было на 2 экрана. -- Regards, Al Nikolov
Re: ro root
Dmitri V. Ivanov wrote: > Обьясните это ldconfig-у и ld.so (загрузчик динамически слинкованных да не буду я никому ничего объяснять, что вы пристали -- Regards, Al Nikolov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
Artem Chuprina wrote: > MS> А с hotplug вообще всё плохо... > > В /etc/hotplug нашелся только один файл, датированный 2005 годом - > net.enable. Hibernate я точно настраивал в 2005. да не вопрос. на машине с однажды случайно подмонтированным subj вообще не нашлось ни одного свежего файла в /etc/hotplug*, тем не менее, ругани в тот раз при загрузке было на 2 экрана. -- Regards, Al Nikolov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
> >> При попытке сделать root ro выяснилось, что часть программ хочет писать > >> в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было > >> > >> Кто-нибудь уже сталкивался с этой проблемой/задачей? IMHO /etc --- это > >> ro каталог, и мне кажется не правильным писать туда при загрузке > что-либо... > DEO> имхо эти файлы надо положить куда-нидь в /var/etc, а в /etc их заменить > DEO> линками > DEO> тогда тот кто хочет писать сможет писать > > При таких предложениях надо учитывать, что /var в этот момент может быть > еще не смонтирован. Классический пример - /etc/mtab :-) я не предлагал решение я предложил - дорогу к нему ;)
Re: ro root
> >> При попытке сделать root ro выяснилось, что часть программ хочет писать > >> в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было > >> > >> Кто-нибудь уже сталкивался с этой проблемой/задачей? IMHO /etc --- это > >> ro каталог, и мне кажется не правильным писать туда при загрузке > что-либо... > DEO> имхо эти файлы надо положить куда-нидь в /var/etc, а в /etc их заменить > DEO> линками > DEO> тогда тот кто хочет писать сможет писать > > При таких предложениях надо учитывать, что /var в этот момент может быть > еще не смонтирован. Классический пример - /etc/mtab :-) я не предлагал решение я предложил - дорогу к нему ;) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
Michael Shigorin -> debian-russian@lists.debian.org @ Wed, 19 Jan 2005 10:32:46 +0200: >> А вот что там alsa забыла - вопрос сложный... MS> /etc/asoundrc, вестимо. No such file or directory. >> При сетапе - понятно, конфиг... Кстати, к вопросу о / в ro - >> есть еще depmod, и он порой только после загрузки с новым ядром >> может написать правильно. modules.dep - они тоже на /. MS> А с hotplug вообще всё плохо... В /etc/hotplug нашелся только один файл, датированный 2005 годом - net.enable. Hibernate я точно настраивал в 2005. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED]
Re: ro root
Dmitry E. Oboukhov -> debian-russian@lists.debian.org @ Wed, 19 Jan 2005 14:53:33 +0300: >> При попытке сделать root ro выяснилось, что часть программ хочет писать >> в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было >> >> Кто-нибудь уже сталкивался с этой проблемой/задачей? IMHO /etc --- это >> ro каталог, и мне кажется не правильным писать туда при загрузке что-либо... DEO> имхо эти файлы надо положить куда-нидь в /var/etc, а в /etc их заменить DEO> линками DEO> тогда тот кто хочет писать сможет писать При таких предложениях надо учитывать, что /var в этот момент может быть еще не смонтирован. Классический пример - /etc/mtab :-) -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED]
Re: ro root
Michael Shigorin -> debian-russian@lists.debian.org @ Wed, 19 Jan 2005 10:32:46 +0200: >> А вот что там alsa забыла - вопрос сложный... MS> /etc/asoundrc, вестимо. No such file or directory. >> При сетапе - понятно, конфиг... Кстати, к вопросу о / в ro - >> есть еще depmod, и он порой только после загрузки с новым ядром >> может написать правильно. modules.dep - они тоже на /. MS> А с hotplug вообще всё плохо... В /etc/hotplug нашелся только один файл, датированный 2005 годом - net.enable. Hibernate я точно настраивал в 2005. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
Dmitry E. Oboukhov -> debian-russian@lists.debian.org @ Wed, 19 Jan 2005 14:53:33 +0300: >> При попытке сделать root ro выяснилось, что часть программ хочет писать >> в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было >> >> Кто-нибудь уже сталкивался с этой проблемой/задачей? IMHO /etc --- это >> ro каталог, и мне кажется не правильным писать туда при загрузке что-либо... DEO> имхо эти файлы надо положить куда-нидь в /var/etc, а в /etc их заменить DEO> линками DEO> тогда тот кто хочет писать сможет писать При таких предложениях надо учитывать, что /var в этот момент может быть еще не смонтирован. Классический пример - /etc/mtab :-) -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
Hello, On Wed, Jan 19, 2005 at 05:55:39PM +0300, Dmitri V. Ivanov wrote: > Обьясните это ldconfig-у и ld.so (загрузчик динамически слинкованных > программ). Есть файлик ld.so.conf и делаемый из него ld.so.cache. Оба > лежат в /etc. Причём ldconfig стирает ld.so.cache. И его не вынесешь за пределы rootfs, т.к. никто статичность программ (помимо init) не гарантирует. Есть только один момент: автоматически ldconfig выполняется только при установке новых программ (или в /etc/init.d/nvidia-glx). > Кроме того: как Вы предлагаете пользователям пароль > менять? Исключительно из-под root? им же для этого в нормальной ситуации > надо в /etc/passwd или /etc/shadow надо писать (через SUID-ную утилиту > passwd). Пароли можно вынести за пределы /etc. Это нормальная, но не типичная ситуация. -- With best wishes Dmitry Baryshkov
Re: ro root
On Wed, Jan 19, 2005 at 09:44:30AM +0300, Al Nikolov wrote: > на самом деле, есть подозрение, что писательство в /etc не в процессе > инсталляции/конфигурирования - нарушение полиси Обьясните это ldconfig-у и ld.so (загрузчик динамически слинкованных программ). Есть файлик ld.so.conf и делаемый из него ld.so.cache. Оба лежат в /etc. Кроме того: как Вы предлагаете пользователям пароль менять? Исключительно из-под root? им же для этого в нормальной ситуации надо в /etc/passwd или /etc/shadow надо писать (через SUID-ную утилиту passwd). Короткий совет: "Не зная броду не суйся в воду"(с). В специальных случаях ro корневую файловую систему делают, но те, кто так поступает четко представляют чем сие грозит. В общем случае люди почему-то так не поступают. И policy тут не при чем совершенно. Равно как и в /lib/modules/linux- обновляется файл modules.dep. Это делается из стартовых скриптов. Ну фича это. Отключить можно. Не бага :) WBR Dmitri Ivanov
Re: ro root
Hello, On Wed, Jan 19, 2005 at 05:55:39PM +0300, Dmitri V. Ivanov wrote: > Обьясните это ldconfig-у и ld.so (загрузчик динамически слинкованных > программ). Есть файлик ld.so.conf и делаемый из него ld.so.cache. Оба > лежат в /etc. Причём ldconfig стирает ld.so.cache. И его не вынесешь за пределы rootfs, т.к. никто статичность программ (помимо init) не гарантирует. Есть только один момент: автоматически ldconfig выполняется только при установке новых программ (или в /etc/init.d/nvidia-glx). > Кроме того: как Вы предлагаете пользователям пароль > менять? Исключительно из-под root? им же для этого в нормальной ситуации > надо в /etc/passwd или /etc/shadow надо писать (через SUID-ную утилиту > passwd). Пароли можно вынести за пределы /etc. Это нормальная, но не типичная ситуация. -- With best wishes Dmitry Baryshkov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
On Wed, Jan 19, 2005 at 09:44:30AM +0300, Al Nikolov wrote: > на самом деле, есть подозрение, что писательство в /etc не в процессе > инсталляции/конфигурирования - нарушение полиси Обьясните это ldconfig-у и ld.so (загрузчик динамически слинкованных программ). Есть файлик ld.so.conf и делаемый из него ld.so.cache. Оба лежат в /etc. Кроме того: как Вы предлагаете пользователям пароль менять? Исключительно из-под root? им же для этого в нормальной ситуации надо в /etc/passwd или /etc/shadow надо писать (через SUID-ную утилиту passwd). Короткий совет: "Не зная броду не суйся в воду"(с). В специальных случаях ro корневую файловую систему делают, но те, кто так поступает четко представляют чем сие грозит. В общем случае люди почему-то так не поступают. И policy тут не при чем совершенно. Равно как и в /lib/modules/linux- обновляется файл modules.dep. Это делается из стартовых скриптов. Ну фича это. Отключить можно. Не бага :) WBR Dmitri Ivanov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
On Wed, Jan 19, 2005 at 02:53:33PM +0300, Dmitry E. Oboukhov wrote: > > > > При попытке сделать root ro выяснилось, что часть программ хочет писать > > в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было В unstable alsa сохраняет настройки в /var/lib/alsa/asound.state -- Иван Лох
Re: ro root
> > При попытке сделать root ro выяснилось, что часть программ хочет писать > в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было > > Кто-нибудь уже сталкивался с этой проблемой/задачей? IMHO /etc --- это > ro каталог, и мне кажется не правильным писать туда при загрузке что-либо... имхо эти файлы надо положить куда-нидь в /var/etc, а в /etc их заменить линками тогда тот кто хочет писать сможет писать
Re: ro root
В сообщении от Вторник 18 Январь 2005 21:28 Sergio написал(a): > При попытке сделать root ro выяснилось, что часть программ хочет писать > в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было > > Кто-нибудь уже сталкивался с этой проблемой/задачей? IMHO /etc --- это > ro каталог, и мне кажется не правильным писать туда при загрузке > что-либо... Отдельно /usr ro -- Никогда не было, чтобы чего-нибудь не было, всегда было, чтобы что-нибудь было.
Re: ro root
On Wed, Jan 19, 2005 at 02:53:33PM +0300, Dmitry E. Oboukhov wrote: > > > > При попытке сделать root ro выяснилось, что часть программ хочет писать > > в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было В unstable alsa сохраняет настройки в /var/lib/alsa/asound.state -- Иван Лох -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
> > При попытке сделать root ro выяснилось, что часть программ хочет писать > в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было > > Кто-нибудь уже сталкивался с этой проблемой/задачей? IMHO /etc --- это > ro каталог, и мне кажется не правильным писать туда при загрузке что-либо... имхо эти файлы надо положить куда-нидь в /var/etc, а в /etc их заменить линками тогда тот кто хочет писать сможет писать -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
Ð ÑÐÐÐÑ ÐÑ ÐÑÐÑÐÐÐ 18 ÑÑ 2005 21:28 Sergio ÑÐÐ(a): > ÐÑÐ ÐÐÐÑÑÐÐ ÑÑÑ root ro ÐÑÑÑÑÑ, ÑÑÐ > ÑÐÑÑÑ ÐÑÐÐÑÐÐÐ ÑÐÑÐÑ ÐÐÑÐÑÑ > Ð ÑÑÐ- /etc. ÐÐÐÑÐÐÐÑ alsa, linuxlogo. ÐÑÑ ÐÑÐÐÐ > ÑÑÐ-ÑÐ ÐÑÐÐ > > ÐÑÐ-ÐÐÐÑÐÑ ÑÐÐ ÑÑÐÐÐÑÑ Ñ ÑÑÐÐ > ÐÑÐÐÐ/ÑÐÐ? IMHO /etc --- ÑÑÐ > ro ÐÐÑ, Ð ÐÐÐ ÑÑÑ ÐÐ ÐÑÑÐÑÐ > ÐÐÑÐÑÑ ÑÑÐÐ ÐÑÐ ÐÐÐÑÑÐÐÐ > ÑÑÐ-... ÐÑÐÐÐÑÐÐ /usr ro -- ÐÐÐ ÐÐ ÐÑÐÐ, ÑÑÐÐÑ ÑÐÐÐ-ÐÐÐÑÐÑ ÐÐ ÐÑÐÐ, ÐÑ ÐÑÐÐ, ÑÑÐÐÑ ÑÑÐ-ÐÐÐÑÐÑ ÐÑÐÐ. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
On Tue, Jan 18, 2005 at 09:56:53PM +0300, Artem Chuprina wrote: > А вот что там alsa забыла - вопрос сложный... /etc/asoundrc, вестимо. > При сетапе - понятно, конфиг... Кстати, к вопросу о / в ro - > есть еще depmod, и он порой только после загрузки с новым ядром > может написать правильно. modules.dep - они тоже на /. А с hotplug вообще всё плохо... -- WBR, Michael Shigorin <[EMAIL PROTECTED]> -- Linux.Kiev http://www.linux.kiev.ua/
Re: ro root
Al Nikolov -> debian-russian@lists.debian.org @ Wed, 19 Jan 2005 09:44:30 +0300: AN> угу. usb hotplug А он-то что в / пишет? AN> на самом деле, есть подозрение, что писательство в /etc не в процессе AN> инсталляции/конфигурирования - нарушение полиси Объясни это mount'у... -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED]
Re: ro root
Artem Chuprina wrote: > S> При попытке сделать root ro выяснилось, что часть программ хочет > писать S> в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то > было > > mount как минимум. /etc/mtab знаешь? Его, правда, можно отучить. > > S> Кто-нибудь уже сталкивался с этой проблемой/задачей? IMHO /etc --- > S> это ro каталог, и мне кажется не правильным писать туда при загрузке > S> что-либо... > > Ну, linuxlogo понятно, что пишет - лого в /etc/issue. В принципе, я > думаю, достаточно дать ему один раз туда записать, а потом его снести. > А вот что там alsa забыла - вопрос сложный... При сетапе - понятно, > конфиг... Кстати, к вопросу о / в ro - есть еще depmod, и он порой > только после загрузки с новым ядром может написать правильно. > modules.dep - они тоже на /. угу. usb hotplug на самом деле, есть подозрение, что писательство в /etc не в процессе инсталляции/конфигурирования - нарушение полиси -- Regards, Al Nikolov
Re: ro root
On Tue, Jan 18, 2005 at 09:56:53PM +0300, Artem Chuprina wrote: > А вот что там alsa забыла - вопрос сложный... /etc/asoundrc, вестимо. > При сетапе - понятно, конфиг... Кстати, к вопросу о / в ro - > есть еще depmod, и он порой только после загрузки с новым ядром > может написать правильно. modules.dep - они тоже на /. А с hotplug вообще всё плохо... -- WBR, Michael Shigorin <[EMAIL PROTECTED]> -- Linux.Kiev http://www.linux.kiev.ua/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
Al Nikolov -> debian-russian@lists.debian.org @ Wed, 19 Jan 2005 09:44:30 +0300: AN> угу. usb hotplug А он-то что в / пишет? AN> на самом деле, есть подозрение, что писательство в /etc не в процессе AN> инсталляции/конфигурирования - нарушение полиси Объясни это mount'у... -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
Artem Chuprina wrote: > S> При попытке сделать root ro выяснилось, что часть программ хочет > писать S> в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то > было > > mount как минимум. /etc/mtab знаешь? Его, правда, можно отучить. > > S> Кто-нибудь уже сталкивался с этой проблемой/задачей? IMHO /etc --- > S> это ro каталог, и мне кажется не правильным писать туда при загрузке > S> что-либо... > > Ну, linuxlogo понятно, что пишет - лого в /etc/issue. В принципе, я > думаю, достаточно дать ему один раз туда записать, а потом его снести. > А вот что там alsa забыла - вопрос сложный... При сетапе - понятно, > конфиг... Кстати, к вопросу о / в ro - есть еще depmod, и он порой > только после загрузки с новым ядром может написать правильно. > modules.dep - они тоже на /. угу. usb hotplug на самом деле, есть подозрение, что писательство в /etc не в процессе инсталляции/конфигурирования - нарушение полиси -- Regards, Al Nikolov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
Sergio -> debian-russian@lists.debian.org @ Tue, 18 Jan 2005 21:28:08 +0300: S> -BEGIN PGP SIGNED MESSAGE- S> Hash: SHA1 S> При попытке сделать root ro выяснилось, что часть программ хочет писать S> в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было mount как минимум. /etc/mtab знаешь? Его, правда, можно отучить. S> Кто-нибудь уже сталкивался с этой проблемой/задачей? IMHO /etc --- S> это ro каталог, и мне кажется не правильным писать туда при загрузке S> что-либо... Ну, linuxlogo понятно, что пишет - лого в /etc/issue. В принципе, я думаю, достаточно дать ему один раз туда записать, а потом его снести. А вот что там alsa забыла - вопрос сложный... При сетапе - понятно, конфиг... Кстати, к вопросу о / в ro - есть еще depmod, и он порой только после загрузки с новым ядром может написать правильно. modules.dep - они тоже на /. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED]
Re: ro root
Mykola Nikishov -> debian-russian@lists.debian.org @ Tue, 18 Jan 2005 21:03:56 +0200: >> При попытке сделать root ro выяснилось, что часть программ хочет писать >> в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было MN> Хм, думал посмотреть, что говорит об этом Linux Filesystem Hierarchy MN> Standard (debian-policy 3.6.1.1) - оный стандарт там от 2001 года. Это MN> нормально? Совершенно. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED]
Re: ro root
Sergio -> debian-russian@lists.debian.org @ Tue, 18 Jan 2005 21:28:08 +0300: S> -BEGIN PGP SIGNED MESSAGE- S> Hash: SHA1 S> При попытке сделать root ro выяснилось, что часть программ хочет писать S> в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было mount как минимум. /etc/mtab знаешь? Его, правда, можно отучить. S> Кто-нибудь уже сталкивался с этой проблемой/задачей? IMHO /etc --- S> это ro каталог, и мне кажется не правильным писать туда при загрузке S> что-либо... Ну, linuxlogo понятно, что пишет - лого в /etc/issue. В принципе, я думаю, достаточно дать ему один раз туда записать, а потом его снести. А вот что там alsa забыла - вопрос сложный... При сетапе - понятно, конфиг... Кстати, к вопросу о / в ro - есть еще depmod, и он порой только после загрузки с новым ядром может написать правильно. modules.dep - они тоже на /. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
Mykola Nikishov -> debian-russian@lists.debian.org @ Tue, 18 Jan 2005 21:03:56 +0200: >> При попытке сделать root ro выяснилось, что часть программ хочет писать >> в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было MN> Хм, думал посмотреть, что говорит об этом Linux Filesystem Hierarchy MN> Standard (debian-policy 3.6.1.1) - оный стандарт там от 2001 года. Это MN> нормально? Совершенно. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ro root
On Tue, Jan 18, 2005 at 09:28:08PM +0300, Sergio wrote: > При попытке сделать root ro выяснилось, что часть программ хочет писать > в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было Хм, думал посмотреть, что говорит об этом Linux Filesystem Hierarchy Standard (debian-policy 3.6.1.1) - оный стандарт там от 2001 года. Это нормально? -- MAN-UANIC Eclipse.org downloads @ http://eclipse.osdn.org.ua/ signature.asc Description: Digital signature
Re: ro root
On Tue, Jan 18, 2005 at 09:28:08PM +0300, Sergio wrote: > При попытке сделать root ro выяснилось, что часть программ хочет писать > в что-либо /etc. Например alsa, linuxlogo. Ещё вроде что-то было Хм, думал посмотреть, что говорит об этом Linux Filesystem Hierarchy Standard (debian-policy 3.6.1.1) - оный стандарт там от 2001 года. Это нормально? -- MAN-UANIC Eclipse.org downloads @ http://eclipse.osdn.org.ua/ signature.asc Description: Digital signature