Re: Проблема с правами доступа в Debian

[Sergey Alyoshin]

2018-03-19 7:50 GMT+03:00 Galina Anikina :
> Суть в следующем:
>
> нахожусь пользователем rimma на sda5 с установленной системой
> Debian_Buster/sid__Unstable
>
> примонтировала sda3 с Debian Stable 9_4 - чтобы wallpappers перебросить
> с sda3 на sda5
>
> И получается абсурд
> я могу посмотреть (полазить в нём) каталог не такого же пользователя
> (если он совпал по имени - например rimma), а чужого - другого
> пользователя (например tobik-а)!
> К примеру я сейчас rimma и нахожусь на sda5, примонтировала sda3, далее
> смотрю тот соседний раздел - home
> и вижу что всё перепутано с правами!
>
> Вот в
> xfce4-terminal 0.8.7.1
>
> mount /dev/sda3 /mnt
>
> rimma@tamrik:~$ ls -All /mnt/home/
> итого 32
> drwx-- 50 tobik tobik 24576 мар 18 13:24 rimma
> drwx-- 15 rimma  rimma   4096 мар 15 16:21 tobik
> drwxr-xr-x  5 tobik tobik  4096 мар 15 17:10 y_walpappers
>
> rimma@tamrik:~$ ls -All /mnt/home/rimma/
> ls: невозможно открыть каталог '/mnt/home/rimma/': Отказано в доступе
> (хотя на sda5 я сейчас пользователь rimma)

По выводу ls ясно, что владелец /mnt/home/rimma tobik, а не rimma.

Видимо у вас разные идентификаторы пользователя на разных системах,
а проверка прав по идентификатору пользователя, не по имени.

Скажем, на старой системе tobik UID 1000, rimma UID 1001, а на новой наоборот,
потому что один пользователь был создан раньше другого. UID можно поменять.

Кроме того при монтировании можно указать принудительно идентификаторы
группы и пользователя владельцев. Если хотите чтобы никто кроме вас не
смог просмотреть файловую систему, то шифруйте её.


> rimma@tamrik:~$ ls -All /mnt/home/tobik/
> итого 100
> -rw--- 1 rimma rimma 6 мар 15 16:21  .bash_history
> ..
>
> rimma@tamrik:~$
>
> Ха а "чужого" - tobik-а разрешает просмотреть!

Потому что владелец "чужого" тут rimma.


> Хотела написать об этой проблеме ещё пару лет назад, но поскольку надо
> было писать на английском 
> Короче подумала, что кто-то заметит и напишет. Вот прошло время и "воз
> и ныне там"!
>
> Возможно этот баг уже зарегистирован, не смотрела, там сложно читать

Это не ошибка, особенность.

Re: salsa - где кнопка регистрация?

[Artem Chuprina]

Galina Anikina -> debian-russian@lists.debian.org  @ Mon, 19 Mar 2018 07:46:03 
+0300:

 > Вернее кнопка то сама есть, но приводит она на страницу - не для ввода
 > нового пользователя, а на страницу входа уже существующего
 > пользователя!
 > Не смогла зарегистрироваться.
 > И ещё - там сайт весь на английском?

Вы sign in с sign up не путаете, если сайт на английском?

Но вообще да, надо понимать, что если Вас интересует актуальная
информация про свободный софт, то она будет на английском. Переводы, где
они есть, отстают, и часто очень сильно.

Re: Проблема с правами доступа в Debian

[Grigory Fateyev]

Это не проблема, а фича! Тут не в имени дело, а в UID. Посмотрите вывод id,
по умолчанию в Debian, при установке, создаётся первый юзер с UID 1000.
Похоже эти юзеры были созданны первыми при инсталяции системы и
соответственно юзеры rimma и tobik имеют одинаковый UID.

19 марта 2018 г., 7:43 пользователь Galina Anikina 
написал:

> Кто поможет составить bug-рапорт на английском о "Проблеме с правами
> доступа в Debian"? (или сам составит, а меня только упомянет? - то есть
> на правах соавторства)
>
> Я бы её отнесла к очень серьёзной проблеме!
>
>
> Это продолжается уже несколько лет! Ранее когда-то такого не было -
> было полное совпадение имён и соответственно разрешалось смотреть
> только тот каталог, у которого совпадают пользователи - хотя и это -
> грубое нарушение безопасности! Ведь к пример если есть человек с
> фамилией Сидоров, то это не значит, что ему разрешено открывать двери
> квартир других Сидоровых, где бы они не жили - в Москве, Омске и тд!
> Или другой пример - если ключ от вашей квартиру подходит к чужой
> квартире - это ещё не значит что вы имеете право войти в неё! :-)))
>
>
> Ранее "было полное совпадение имён и соответственно разрешалось
> смотреть только тот каталог, у которого совпадают пользователи" - не
> могу сказать в какой операционной системе Linux, но было всё нормально
> - так как пробовала -ставила разные - начиная от Slackware и тд.
>
> Возможно это проблема не Debian, а самой программы, которая занимается
> распределением прав доступа или устанавливает права доступа на
> примонтированных разделах. Поскольку я не программист по Linux мне
> сложно сказать - где происходит неувязка. Но её необходимо устранить -
> это однозначно. Тем более в таком уважаемом дистибутиве, как Debian!
>
>
> Суть в следующем:
>
>
> нахожусь пользователем rimma на sda5 с установленной системой
> Debian_Buster/sid__Unstable
>
> примонтировала sda3 с Debian Stable 9_4 - чтобы wallpappers перебросить
> с sda3 на sda5
>
>
>
>
>
> И получается абсурд
> я могу посмотреть (полазить в нём) каталог не такого же пользователя
> (если он совпал по имени - например rimma), а чужого - другого
> пользователя (например tobik-а)!
> К примеру я сейчас rimma и нахожусь на sda5, примонтировала sda3, далее
> смотрю тот соседний раздел - home
> и вижу что всё перепутано с правами!
>
>
>
> Вот в
> xfce4-terminal 0.8.7.1
>
>
>
> mount /dev/sda3 /mnt
>
>
> rimma@tamrik:~$ ls -All /mnt/home/
> итого 32
> drwx-- 50 tobik tobik 24576 мар 18 13:24 rimma
> drwx-- 15 rimma  rimma   4096 мар 15 16:21 tobik
> drwxr-xr-x  5 tobik tobik  4096 мар 15 17:10 y_walpappers
>
>
>
> rimma@tamrik:~$ ls -All /mnt/home/rimma/
> ls: невозможно открыть каталог '/mnt/home/rimma/': Отказано в доступе
> (хотя на sda5 я сейчас пользователь rimma)
>
>
>
>
> rimma@tamrik:~$ ls -All /mnt/home/tobik/
> итого 100
> -rw--- 1 rimma rimma 6 мар 15 16:21  .bash_history
> ..
>
> rimma@tamrik:~$
>
> Ха а "чужого" - tobik-а разрешает просмотреть!
>
> То же в
> Thunar 1.6.14
>
>
> Изнутри  Debian Stable 9_4 та же история (то есть если я нахожусь на
> sda3 - Debian 9.4 Stable) - если оттуда примонтирую раздел sda5 с
> Debian buster/sid Unstable.
>
>
>
>
> Хотела написать об этой проблеме ещё пару лет назад, но поскольку надо
> было писать на английском 
> Короче подумала, что кто-то заметит и напишет. Вот прошло время и "воз
> и ныне там"!
>
> Возможно этот баг уже зарегистирован, не смотрела, там сложно читать
> :-((
> Galina
>
>

Проблема с правами доступа в Debian

[Galina Anikina]

Кто поможет составить bug-рапорт на английском о "Проблеме с правами
доступа в Debian"? (или сам составит, а меня только упомянет? - то есть
на правах соавторства)

Я бы её отнесла к очень серьёзной проблеме!


Это продолжается уже несколько лет! Ранее когда-то такого не было -
было полное совпадение имён и соответственно разрешалось смотреть
только тот каталог, у которого совпадают пользователи - хотя и это -
грубое нарушение безопасности! Ведь к пример если есть человек с
фамилией Сидоров, то это не значит, что ему разрешено открывать двери
квартир других Сидоровых, где бы они не жили - в Москве, Омске и тд!
Или другой пример - если ключ от вашей квартиру подходит к чужой
квартире - это ещё не значит что вы имеете право войти в неё! :-))) 


Ранее "было полное совпадение имён и соответственно разрешалось
смотреть только тот каталог, у которого совпадают пользователи" - не
могу сказать в какой операционной системе Linux, но было всё нормально
- так как пробовала -ставила разные - начиная от Slackware и тд.

Возможно это проблема не Debian, а самой программы, которая занимается
распределением прав доступа или устанавливает права доступа на
примонтированных разделах. Поскольку я не программист по Linux мне
сложно сказать - где происходит неувязка. Но её необходимо устранить -
это однозначно. Тем более в таком уважаемом дистибутиве, как Debian!


Суть в следующем:


нахожусь пользователем rimma на sda5 с установленной системой
Debian_Buster/sid__Unstable

примонтировала sda3 с Debian Stable 9_4 - чтобы wallpappers перебросить
с sda3 на sda5





И получается абсурд 
я могу посмотреть (полазить в нём) каталог не такого же пользователя
(если он совпал по имени - например rimma), а чужого - другого
пользователя (например tobik-а)!
К примеру я сейчас rimma и нахожусь на sda5, примонтировала sda3, далее
смотрю тот соседний раздел - home
и вижу что всё перепутано с правами!
 


Вот в 
xfce4-terminal 0.8.7.1



mount /dev/sda3 /mnt


rimma@tamrik:~$ ls -All /mnt/home/
итого 32
drwx-- 50 tobik tobik 24576 мар 18 13:24 rimma
drwx-- 15 rimma  rimma   4096 мар 15 16:21 tobik
drwxr-xr-x  5 tobik tobik  4096 мар 15 17:10 y_walpappers



rimma@tamrik:~$ ls -All /mnt/home/rimma/
ls: невозможно открыть каталог '/mnt/home/rimma/': Отказано в доступе
(хотя на sda5 я сейчас пользователь rimma)




rimma@tamrik:~$ ls -All /mnt/home/tobik/
итого 100
-rw--- 1 rimma rimma 6 мар 15 16:21  .bash_history
..

rimma@tamrik:~$ 

Ха а "чужого" - tobik-а разрешает просмотреть!

То же в 
Thunar 1.6.14


Изнутри  Debian Stable 9_4 та же история (то есть если я нахожусь на
sda3 - Debian 9.4 Stable) - если оттуда примонтирую раздел sda5 с
Debian buster/sid Unstable.



 
Хотела написать об этой проблеме ещё пару лет назад, но поскольку надо
было писать на английском 
Короче подумала, что кто-то заметит и напишет. Вот прошло время и "воз
и ныне там"!

Возможно этот баг уже зарегистирован, не смотрела, там сложно читать 
:-((
Galina

salsa - где кнопка регистрация?

[Galina Anikina]

Вернее кнопка то сама есть, но приводит она на страницу - не для ввода
нового пользователя, а на страницу входа уже существующего
пользователя!
Не смогла зарегистрироваться.
И ещё - там сайт весь на английском?

Проблема с правами доступа в Debian

[Galina Anikina]

Кто поможет составить bug-рапорт на английском о "Проблеме с правами
доступа в Debian"? (или сам составит, а меня только упомянет? - то есть
на правах соавторства)

Я бы её отнесла к очень серьёзной проблеме!


Это продолжается уже несколько лет! Ранее когда-то такого не было -
было полное совпадение имён и соответственно разрешалось смотреть
только тот каталог, у которого совпадают пользователи - хотя и это -
грубое нарушение безопасности! Ведь к пример если есть человек с
фамилией Сидоров, то это не значит, что ему разрешено открывать двери
квартир других Сидоровых, где бы они не жили - в Москве, Омске и тд!
Или другой пример - если ключ от вашей квартиру подходит к чужой
квартире - это ещё не значит что вы имеете право войти в неё! :-))) 


Ранее "было полное совпадение имён и соответственно разрешалось
смотреть только тот каталог, у которого совпадают пользователи" - не
могу сказать в какой операционной системе Linux, но было всё нормально
- так как пробовала -ставила разные - начиная от Slackware и тд.

Возможно это проблема не Debian, а самой программы, которая занимается
распределением прав доступа или устанавливает права доступа на
примонтированных разделах. Поскольку я не программист по Linux мне
сложно сказать - где происходит неувязка. Но её необходимо устранить -
это однозначно. Тем более в таком уважаемом дистибутиве, как Debian!


Суть в следующем:


нахожусь пользователем rimma на sda5 с установленной системой
Debian_Buster/sid__Unstable

примонтировала sda3 с Debian Stable 9_4 - чтобы wallpappers перебросить
с sda3 на sda5





И получается абсурд 
я могу посмотреть (полазить в нём) каталог не такого же пользователя
(если он совпал по имени - например rimma), а чужого - другого
пользователя (например tobik-а)!
К примеру я сейчас rimma и нахожусь на sda5, примонтировала sda3, далее
смотрю тот соседний раздел - home
и вижу что всё перепутано с правами!
 


Вот в 
xfce4-terminal 0.8.7.1



mount /dev/sda3 /mnt


rimma@tamrik:~$ ls -All /mnt/home/
итого 32
drwx-- 50 tobik tobik 24576 мар 18 13:24 rimma
drwx-- 15 rimma  rimma   4096 мар 15 16:21 tobik
drwxr-xr-x  5 tobik tobik  4096 мар 15 17:10 y_walpappers



rimma@tamrik:~$ ls -All /mnt/home/rimma/
ls: невозможно открыть каталог '/mnt/home/rimma/': Отказано в доступе
(хотя на sda5 я сейчас пользователь rimma)




rimma@tamrik:~$ ls -All /mnt/home/tobik/
итого 100
-rw--- 1 rimma rimma 6 мар 15 16:21  .bash_history
..

rimma@tamrik:~$ 

Ха а "чужого" - tobik-а разрешает просмотреть!

То же в 
Thunar 1.6.14


Изнутри  Debian Stable 9_4 та же история (то есть если я нахожусь на
sda3 - Debian 9.4 Stable) - если оттуда примонтирую раздел sda5 с
Debian buster/sid Unstable.



 
Хотела написать об этой проблеме ещё пару лет назад, но поскольку надо
было писать на английском 
Короче подумала, что кто-то заметит и напишет. Вот прошло время и "воз
и ныне там"!

Возможно этот баг уже зарегистирован, не смотрела, там сложно читать 
:-((
Galina

[DONE] wml://{security/2008/dsa-1536.wml}

[Lev Lamberov]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

- --- english/security/2008/dsa-1536.wml2017-11-01 10:11:09.855813700 
+0500
+++ russian/security/2008/dsa-1536.wml  2018-03-18 17:39:33.355191746 +0500
@@ -1,49 +1,50 @@
- -several vulnerabilities
+#use wml::debian::translation-check translation="1.5" maintainer="Lev Lamberov"
+несколько уязвимостей
 
- -Several local vulnerabilities have been discovered in Xine, a
- -media player library, allowed for a denial of service or arbitrary code
- -execution, which could be exploited through viewing malicious content.
- -The Common Vulnerabilities and Exposures project identifies the following
- -problems:
+В Xine, библиотеке для проигрывателей 
мультимедиа, было обнаружено несколько
+локальных уязвимостей, позволяющих 
вызывать отказ в обслуживании или 
выполнять произвольный
+код. Уязвимости могут использоваться 
путём просмотра специально 
сформированного содержимого.
+Проект Common Vulnerabilities and Exposures определяет 
следующие
+проблемы:
 
 
 
 https://security-tracker.debian.org/tracker/CVE-2007-1246;>CVE-2007-1246
 / https://security-tracker.debian.org/tracker/CVE-2007-1387;>CVE-2007-1387
 
- -The DMO_VideoDecoder_Open function does not set the biSize before use 
in a
- -memcpy, which allows user-assisted remote attackers to cause a buffer 
overflow
- -and possibly execute arbitrary code (applies to sarge only).
+Функция DMO_VideoDecoder_Open не определяет biSize 
до использования этой переменной в
+вызове memcpy, что позволяет удалённым 
злоумышленникам вызывать переполнение 
буфера
+и потенциально выполнять произвольный 
код (уязвимость касается только sarge).
 
 https://security-tracker.debian.org/tracker/CVE-2008-0073;>CVE-2008-0073
 
- -Array index error in the sdpplin_parse function allows remote RTSP 
servers
- -to execute arbitrary code via a large streamid SDP parameter.
+Ошибка индексации массива в функции 
sdpplin_parse позволяет удалённым RTSP-серверам
+выполнять произвольный код с помощью 
большого параметра streamid SDP.
 
 https://security-tracker.debian.org/tracker/CVE-2008-0486;>CVE-2008-0486
 
- -Array index vulnerability in libmpdemux/demux_audio.c might allow 
remote
- -attackers to execute arbitrary code via a crafted FLAC tag, which 
triggers
- -a buffer overflow (applies to etch only).
+Уязвимость индексации массива в 
libmpdemux/demux_audio.c может позволить удалённым
+злоумышленникам выполнить произвольный 
код с помощью специально сформированного 
FLAC-тега,
+обработка которого приводит к 
переполнению буфера (уязвимость касается 
только etch).
 
 https://security-tracker.debian.org/tracker/CVE-2008-1161;>CVE-2008-1161
 
- -Buffer overflow in the Matroska demuxer allows remote attackers to 
cause a
- -denial of service (crash) and possibly execute arbitrary code via a 
Matroska
- -file with invalid frame sizes.
+Переполнение буфера в 
демультиплексоре Matroska позволяет удалённым 
злоумышленникам
+вызывать отказ в обслуживании 
(аварийная остановка) и потенциально 
выполнять произвольный код
+с помощью файла в формате Matroska с 
некорректным размером кадра.
 
 
 
- -For the old stable distribution (sarge), these problems have been fixed in
- -version 1.0.1-1sarge7.
+В предыдущем стабильном выпуске (sarge) эти 
проблемы были исправлены в
+версии 1.0.1-1sarge7.
 
- -For the stable distribution (etch), these problems have been fixed in 
version
+В стабильном выпуске (etch) эти проблемы 
были исправлены в версии
 1.1.2+dfsg-6.
 
- -For the unstable distribution (sid), these problems have been fixed in
- -version 1.1.11-1.
+В нестабильном выпуске (sid) эти проблемы 
были исправлены в
+версии 1.1.11-1.
 
 
- -We recommend that you upgrade your xine-lib package.
+Рекомендуется обновить пакет xine-lib.
 
 
 # do not 

Re: internet radio pleer

[Artem Chuprina]

ivan demakov -> debian-russian@lists.debian.org  @ Sun, 18 Mar 2018 10:59:31 
+0700:

 >> > О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫
 >> > О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ USB-О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫
 >> > О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫... 
 >> 
 >> О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫
 >> О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫?

 > И вот так оно у вас все и работает?   В большинстве случаев...

Да, довольно хорошая иллюстрация к позиции DH...

Re: К знатокам NAS (про ZFS)

[Alexandr Lebedev]

18.03.2018 10:34, artiom пишет:

- Нужен был дешёвый способ увеличения скорости доступа к файлам. Главным
образом - чтения. Раньше отзывчивость сервера серьёзно падала при
одновременных тяжёлых запросах нескольких пользователей.

В итоге сейчас имею два диска WD Black по 1T в чередовании (stripe) и
один SSD Intel DC S3520 240G для L2ARC и ZIL, не считая диска под систему.


Средствами ZFS?


Да. Эти диски полностью отданы под пул ZFS. Ничего другого там нет.


Планирую добавить ещё один терабайтник и сделать RAIDZ-1 вместо
чередования - будет надёжнее.

Поставленные задачи решены, на мой взгляд:

- ФС хоть и необычная, но довольно простая в развёртывании и обращении.

Оптимистично.
Я уже целый день пытаюсь настроить шифрованный ZFS root.
И на Stretch, оно не очень дружит с cryptsetup (матерится на то, что
root определить не может).


В моём случае действительно всё оказалось просто. Но я не ставил систему 
на ZFS - она как была на ext4, так там и осталась. ZFS была нужна только 
для пользовательского файлохранилища.


С шифрованием тоже не работал.

--
Александр Лебедев
mailto:meved...@yandex.ru
xmpp:x-an...@jabber.ru

Re: К знатокам NAS (про ZFS)

[artiom]

> - Нужен был дешёвый способ увеличения скорости доступа к файлам. Главным
> образом - чтения. Раньше отзывчивость сервера серьёзно падала при
> одновременных тяжёлых запросах нескольких пользователей.
> 
> В итоге сейчас имею два диска WD Black по 1T в чередовании (stripe) и
> один SSD Intel DC S3520 240G для L2ARC и ZIL, не считая диска под систему.
> 
Средствами ZFS?

> Планирую добавить ещё один терабайтник и сделать RAIDZ-1 вместо
> чередования - будет надёжнее.
> 
> Поставленные задачи решены, на мой взгляд:
> 
> - ФС хоть и необычная, но довольно простая в развёртывании и обращении.
Оптимистично.
Я уже целый день пытаюсь настроить шифрованный ZFS root.
И на Stretch, оно не очень дружит с cryptsetup (матерится на то, что
root определить не может).