On Wed, 30 Jan 2002, Viktor Vislobokov wrote: > Практически во всех руководствах по > безопастности, первое что рекомендуют > сделать - это таковые программы в системе > найти и: или удалить их нафиг или снять с > них suid'ный бит.
Увидев такую фразу, я оное руководство выкидываю сразу. Потому что все виды предоставления привелегий имеют свои достоинства и недостатки. И если автор панически боится какого-то одного из них он категорически не прав. > > Чего тут интуитивно-непонятного? > > > Ладно, прикинусь полным чайником - а зачем А ты не прикидывася полным чайником. Полным чайникам не надо ничего давать выполнять с правами рута. > мне вбивать какие-то команды (а их еще и искать надо), если мне с > модулем PAM ничего вбивать не надо, более того, Модуль PAM надо поставить. > Ты утверждаешь, что этот механизм не > секурный. Я повторюсь - реальные примеры мне Я утверждаю что этот механизм менее понятный квалифицированному админу. Ибо про xauth он и так все знает, а аудит кода данного PAM-модуля ему проводить некогда. То что непонятно, по определению не секьюрно. > > И этот механизм ничего лишнего не требует не только от пользователя, > > но и от администратора. В частности, установки непроверенного кода, > > который в debian stable еще не попал. > > > А кто говорит про Debian? Я же сказал - в нем А на адрес посмотри. Мы в списке рассылки debian-russian. > такого механизма нет. Ни в stable ни где бы то > еще. В других дистрибутивах он уже > используется не один год и значит вполне Ничего не значит. Я пользуюсь этим дистрибутивом и все попытки за последние три года поиграться с другими ничего кроме рвотого рефлекса не вызывают. Даже ALT Linux Castle. Потому что там инсталлятор под чайников заточенный. А это значит что в нештатной ситуации (ну вот у меня на той же машине Solaris стоял) он не может сделать ничего, кроме того как испортить мои данные. Потому что нет в нем ручки.
