16.03.2011 16:22, Michael Shigorin пишет: > On Wed, Mar 16, 2011 at 04:47:32PM +0300, Anton Farygin wrote: >>>> Вспоминаю об пробном тазике (Школьный 5.0.1),там такая же >>>> картина -- 755. Переустановил на нем 5.0.2, пока без >>>> smbldap-tools и домна -- те же 755. А вот на Школьном >>>> Мастере всё в порядке -- 700. Куда смотреть, что делать? >>> Следует ли понимать, что молчание общественности вокруг того >>> факта, что в свежеустановленном ALT Linux School Server 5.0 на >>> домашние каталоги создаваемых пользователей устанавливаются >>> права доступа 755, то есть любой пользователь может >>> просматривать и читать файлы любого другого пользователя -- > > Нет, конечно. Возможность доступа по чтению к файлам > регулируется правами на эти файлы. При этом ~, ~/Documents > и ~/tmp "из коробки" имеют права 0700 в качестве меры > _дополнительного_ ограждения. _Все_ каталоги внутри ~ тоже 755, файлы -- 640
>>> в отличии от ALT Linux School Server 4 или ALT Linux School >>> Master 5.0, где права на каталоги 700 -- является >>> подтверждением нормальности такого положения вещей для >>> _школьного сервера_ (хотя и школьного, но всё-таки сервера)? > > Думаю, да. Не смотрел, но выглядит явно как специально > оформленная фича. См. тж. /etc/login.defs там вот так: # The umask to use when creating user home directories. The default # is 077. # #UMASK 77 т.е. как будто дефолтно 700, или как? > >> ну, или в bugzilla, если есть возможность воспроизводить ошибку. Еще как воспроизводится! По совету более опытных товарищей -- #25244 > Это не ошибка, а вопрос культуры -- как на местах, так и в > дистрибутиве. Как и "всех в группу users" или "per-user groups". > > То есть ни 700, ни 711, ни 751 или 755 нельзя считать ошибкой > в отрыве от контекста: где-то принято сказать "посмотри мой > ~/.screenrc", а где-то для разделяемого барахлишка делается > разделяемый каталог в явном виде. Также не забываем про > ~/public_html (хотя для этого как раз достаточно 711). Вот я тоже за "разделяемый каталог в явном виде" !! А поскольку у нас всё окружение - оффтопик, то и не один расшаренный по самбе. > Мне лично кажется, что для школьного сервера это как раз более > удачный дефолт, чем 700. Ну, если дать особо одаренным юным кулхацкерам лазейку подсмотреть тексты будущей контрольной, то таки да! Оно мне надо?? :)))) > Если в конкретном месте это не так -- > перенастройте. Если бы смог найти, где и что изменить, то и не отнимал бы время попусту, но увы... А так... поставил костыль, по крону проверяет новых юзеров, правит... Но это ведь "не наш метод"! А сервер надо "ещё вчера" отдавать коллегам... > Если же во многих местах окажется нужным > перенастроить -- вот тогда имеет смысл поднимать вопрос > об изменении этого дефолта для этого дистрибутива. > -- С уважением, А.Куликовский Гимназия №1 г.Дзержинска, РБ _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
