Victor Wagner <[EMAIL PROTECTED]> writes: > On 21 May 2001, Peter Novodvorsky wrote: > > > Ну допустим решили сделать web frontend, который обращалося бы к этой > > базе данных. Мне кажется, что желание чрутить psql находться > > в рамках нормальной паранойи. > > Мне кажется, что это уже не нормальная паранойя, так как при этом > либо отрубается существенная функциональность, либо прикладывается > слишком много усилий. Затратив эти усилия на некоторые другие способы > повышения безопасности системы, можно добиться существенно больших > результатов.
Я же говорил про web frontend. Еще это защита от дурака нечаянно поставившего postgres. Это не Debian, это _ALT_. > > Не вопрос. > > А как быть с crontab-ами пользователей, скрипты из которых должны > выполняться в домашних директорих оных пользователей? Обычным пользователям вообще нельзя разрешать пользовать crontab. > > Я думаю, что и это будет. Вообще, это довольно сложно. > > Проблема в том, что то, chroot-ить апач сложно, новомодные апологеты > безопасности понимают, а то что сложно chroot-ить полнофункциональную > базу данных - нет. А теперь напиши тоже самое Theo de Raadt (незабыв перевести фразу ``новомодные апологеты безопасности'' на английский, особенно новомодные) и если можно переправь ответ сюда. ;-) > Потому что опыт общения с базами данных для них > ограничивается mySQL, который исходно крайне ограничен по > функциональности. Ваша неправда, сэр. Опыт неограничен mysql. > Здесь такая же проблема как использовать/неиспользовать суидные программы, > или в каких случаях ssh не заменяет rsh. > Те кто развивают в данных > вопросах паранойю, обычно обладают крайне ограниченным представлением > о том, что с результатами их работы можно делать. Дмтрий Левин является одним из upstreamов ssh, так что он знает, что с этим делать. Во-вторых у ALT довольно большое кол-во пользователей и нареканий на чрутенный psql не приходит. > Результатом являются совершенно непригодные к нормальному использованию > системы, такие как редхатовский linuxconf, который обожает лишить > пользователей возможности слать почту, снеся suid у sendmail-а, > или мандрейковский графический инсталлятор, который не дает возможности > поставиться второй системой на диск с Solaris. Это ни к селу не к городу, я не вижу прично-следственной связи. Nidd. PS. Витус, мне очень хочется сделать crosspost в mandrake-russian, все готовы? ;-) -- Peter Novodvorsky http://www.altlinux.ru/ AltLinux Team, Russia Debian.Org http://debian.org/~nidd Debian --- no need to wait for tomorrow.
