|
[ random @ 31.03.2005. 02:47 ] @
| Danas slučajno na jednom serveru naleteh na problem jer servis koji se izvršavao pod non-root UID-om nije mogao da pristupi nekim fajlovima koji su bili u njegovom vlasništvu. Naravno, problem je bilo trivijalno ispraviti, ali naterao me je da stavim prst na čelo. Svedeno na prost primer, evo šta je u pitanju:
$ ls -ld dir
drw-r-xr-x 2 random users 4096 Mar 31 03:32 dir
$ cd dir
cd: dir: Permission denied
$ chmod u+x dir
$ cd dir
$ ls -l
total 4
----r--r-- 1 random users 5 Mar 31 03:32 fajl
$ cat fajl
cat: fajl: Permission denied
$
Naravno, gledano sa strane kako je sistem dozvola implementiran (iskodiran), jasno je zašto se ovo dešava (sistem prvo proverava da li si vlasnik fajla, i ako jesi, ne gleda dozvole za grupu i ostale, već primenjuje dozvole za vlasnika), ali moje pitanje je: da li bi trebalo da tako bude? Da li je ovo ponašanje koje bi korisnik trebalo da očekuje od Juniks sistema?
P.S. Probano na Linuxu i FreeBSD-ju, verovatno je tako na svim Juniksima. |
[ popeye @ 31.03.2005. 02:57 ] @
Da, sleva nadesno. Prava za "ostale" važe za sve osim članova grupe i vlasnika.
[ popeye @ 31.03.2005. 13:15 ] @
Ovako naspavanom, čini mi se da sam noćas (jutros) možda pogrešno protumačio pitanje. Ako je poenta da li bi korisnik trebalo da očekuje upozorenja o potencijalno opasnim operacijama na Unix sistemu, onda je ovo blaža varijanta, težu smo videli ovde na forumu kada je korisnik poslao izlaz naredbe grub-install (ili je ipak bio fdisk) direktno na /dev/hda.
Da li bi trebalo upozoravati korisnika? Zavisi od njega samog, tj. od toga kome je sistem namenjen. Linuxu je, po mom mišljenju, to neizostavno potrebno jer puca na mase i pokušava ulazak na desktop tržište. FreeBSD, mišljenja sam, u zadnje vreme takođe dobija nove, Unixu nenaviknute, korisnike.
Komercijalnim Unixima to zasad nije potrebno jer se podrazumeva da njihovi korisnici znaju zbog čega su ga nabavili (poznaju sistem i njegove osobenosti, vrline i mane). Oni rade na skupom hardveru i nedostupni su široj populaciji (nisu za desktop).
[ random @ 31.03.2005. 13:32 ] @
Možda bi dobro rešenje bilo da
a) chmod obavesti korisnika ako pokuša da postavi "nelogične" dozvole nad nekim fajlovima.
b) cron skript prođe jednom dnevno (možda isti cron skript koji na nekim sistemima pravi security listu SUID programa), i obavesti vlasnike fajlova o neobičnim dozvolama.
Nemam ideju kako bi mogli sprečiti neiskusnog korisnika da kao superuser uradi nešto tipa grub-install > /dev/hda. Možda da se neka takva funkcionalnost ugradi u sam shell (recimo bash), i da se aktivira samo ako se shell izvršava interaktivno (stdin vezan za tty).
[ VRider @ 31.03.2005. 13:50 ] @
Ja bas mislim da treba da ostane tako kako je.
You can make it foolproof, but you can't make it damnfoolproof. - Naeser's Law
[ popeye @ 31.03.2005. 13:55 ] @
Upozorenje od strane naredbi poput chmod (odnosno setfacl) i chown su dobra rešenja, uz postojanje sistemske promenljive kojom bi se prikazivanje takvih upozorenja mogla isključiti. Cron posao je jednostavan za implementaciju, ali mislim da smara korisnike, početnike i iskusne podjednako.
Što se tiče ograničavanja direktnog pisanja na uređaj (ne vidim zasad problem sa čitanjem) mislim da se ne treba uvesti u korisničkom prostoru, već na nivou jezgra (drajvera). Trebalo bi uvesti, recimo, podrazumevanu pristupnu listu koja određuje ko i na koji način (zabraniti stderr svima, stdout možda za neke) ima pristup uređaju. Lista bi opet morala biti proširiva.
[ Not now, John! @ 31.03.2005. 13:56 ] @
Citat: random: Možda bi dobro rešenje bilo da
a) chmod obavesti korisnika ako pokuša da postavi "nelogične" dozvole nad nekim fajlovima.
Nemam ideju kako bi mogli sprečiti neiskusnog korisnika da kao superuser uradi nešto tipa grub-install > /dev/hda. Možda da se neka takva funkcionalnost ugradi u sam shell (recimo bash), i da se aktivira samo ako se shell izvršava interaktivno (stdin vezan za tty).
To bi bilo prilično iritirajuće za nekog ko zna šta radi.
Code: $ <command>
Are you sure (type OK)? ok
Are you sure (type OK - case sensitive)? OK
$
I ja mislim da treba da ostane kako jeste. Neke komande nisu za one koji ne znaju šta rade. Zato i postoje administratorska ovlaštenja. Za one koji ne znaju šta rade, postoje user-friendly alati na distribucijama, koji mogu da upozoravaju korisnika o potencijalnim problemima.
[ dandellion @ 01.04.2005. 01:30 ] @
ne vidim sta je problem sa (opcionim) upozorenjima....
draz linuxa i unixa jeste da ako mi se hoce (ili ako sam dovoljno nepozljiv, lud, voljan da ucim na bolnim greskama) mogu da uradim sta god mi padne na pamet..... druga draz (koja mozda manje pada u oci) je da uprkos mom avanturizmu + nepoznavanju linuxa + nepazljivosti ne uspevam da rasturim sistem toliko da ne mogu da ga vratim u radno stanje u rekordnom roku (nemam pojma kako i zasto ovo ali tako je...)
[ VRider @ 01.04.2005. 10:32 ] @
Linux je dusu dao za vracanje u vozno stanje. 
[ popeye @ 01.04.2005. 23:21 ] @
Da li i onaj nesretnik koji je odradio # grub-install > /dev/hda misli isto? Malo upozorenje bi ga spaslo bede.
[ Not now, John! @ 02.04.2005. 00:04 ] @
Citat: popeye: Da li i onaj nesretnik koji je odradio # grub-install > /dev/hda misli isto? Malo upozorenje bi ga spaslo bede.
Pa da je pročitao info grub prije nego što se upustio u takve zahvate to se ne bi ni desilo. 
[ popeye @ 02.04.2005. 11:53 ] @
Ovo za grub-install je samo jedan od primera, isto je pretpostavljam mogao uraditi i snimanjem iz OO u /dev/hda. Za računarski nepismenu ili polupismenu (ubacim CD i film sam krene, klik na ovu ikonu i evo mjuze...) Linux je nemušt sistem sa nedorađenim interfejsom koji je neprilagođen novonastaloj situaciji.
Da se ne ponavljam, pogledaj gore moju drugu po redu poruku, paragraf oko upozoravanja korisnika. Linux postaje (ili bar nastoji da to postane) sistem za svakodnevnu kućnu upotrebu, kućni aparat za mase - komša Peru koji je automehaničar i gleda filmiće na njemu, Milevu koja uči da kuca na tastaturi, malog Pericu koji se igra.
Ko od njih treba da čuka info grub? Pera, koji se kod rada u kanalu (pod automobilom) odlično snalazi, ali ne i u školjci. Mileva brate, još uči da kuca. A Perica je nepismen. Treba li reći da ne znaju engleski?
[ codemaster @ 03.04.2005. 21:23 ] @
Citat: Da li i onaj nesretnik koji je odradio
# grub-install > /dev/hda
misli isto? Malo upozorenje bi ga spaslo bede
Citat: Ko od njih treba da čuka info grub? Pera, koji se kod rada u kanalu (pod automobilom) odlično snalazi, ali ne i u školjci. Mileva brate, još uči da kuca. A Perica je nepismen. Treba li reći da ne znaju engleski?
Citat: I ja mislim da treba da ostane kako jeste. Neke komande nisu za one koji ne znaju šta rade. Zato i postoje administratorska ovlaštenja. Za one koji ne znaju šta rade, postoje user-friendly alati na distribucijama, koji mogu da upozoravaju korisnika o potencijalnim problemima.
Ja sam taj :))
Code: grub-install > /dev/hda
Sto kaze Roni, u can't expect to reach the top without a little climbing, (ne mislim na vrh, ali je tako rekao Roni;) ali je ovo ekstrem, nemojte novajlije da se penjete ovoliko, tojest da padate;))
Licno: mislim da sam zaista gresio kad sam ucio sa foruma, ucio od ljudi kakvi ste vi (Now, John:Oliva, Kica i ostali smesni likovi, sakali sa lavljom kozom ubise. Mada Gojko ih konta, koliko mi se cini, pa vecina moderatora nije takva), ili bar kakve vas predstavljaju ove i slicne poruke. Mozda vecina vas i ne razmislja kako to deluje. Mada, nastavicu da ucim od randoma, Gojka, cabooma, chupcka, Obivatelja.. ima ih jos. (neka bude mali tip kad cesljate kojim likovima mozete da posvetite vise paznje kada listate teme). Ta greska, napominjem, nije posledica mog ucenja sa ovog foruma haha, nego mog neiskustva.
Ja sam skromnog misljenja da treba da ostane kako jeste, oni koji priznaju da ne znaju najvise ce i nauciti, a uverenje o svom neznanju je najdelotvornije kad osvanes bez hard diska;D Pre svega uverenje da je metod pogresan, da se ne znaju principi po kojima shell funkcionise, da ne treba nauciti sta pise u info grub vec osnovne zakone logicnog razmisljanja.
Ako je nekome lakse da uci iz poruka ili postova ljudi koji se ozbiljno bave Juniksom, onda neka prvo razmisli kako da razdvoji ko je ratnik a ko industrijalac (vidi El Espectador, O ratnickom duhu, Jose Ortega y Gasset;), jer ce od njih nauciti mnogo vaznije stvari, bavili se oni hermeneutikom nade, fenomenologijom ili Juniksom. Dakle, uvek sirom otvorenih ociju!!!
Trudim se da naucim sustinske principe, pravila po kojima nesto funkcionise, ostalo ne predstavlja teskocu, ili je ona prividna. (koga interesuju gluposti, neka pogleda moje poruke, i poruke slicnih, a to je prosecni napaljeni clan ES-a, koji je omirisao nesto izvan windowsa;)), od pre oko godinu dana, pa ce videti sta znaci nedoslednost, glupost, nemar)
E, randome, sta ti mislis, ono "ne bacaj bisere pred svinje", da li je to uopste tacno, kad baratas, na neki nacin, s tolikom masom? I koji su ti motivi?
(:biseri po principu random shot, jel, pa mozda sinu u dobrom pravcu;)
Ignore cu prihvatiti, mada aj odgovori:D
[ popeye @ 04.04.2005. 11:34 ] @
Citat: codemaster:
Licno: mislim da sam zaista gresio kad sam ucio sa foruma, ucio od ljudi kakvi ste vi (Now, John:Oliva, Kica i ostali smesni likovi, sakali sa lavljom kozom ubise. Mada Gojko ih konta, koliko mi se cini, pa vecina moderatora nije takva), ili bar kakve vas predstavljaju ove i slicne poruke.
Ako sam te uvredio, izvinjavam se, pogrešno si me shvatio. Cilj mi je bio da objasnim korisnost sistemskih obaveštenja, a ne tebe da prozivam. Nisam se sećao ni ko je to uradio - što je u ovom slučaju bilo krajnje nebitno jer se svakom tokom rada desio nekakav propust koji je mogao biti izbegnut.
Nema razloga da ovo spuštaš na lični nivo, pozivanjem na ignorisanje nečijih poruka. Nije da ću biti pogođen jer ionako [es] retko čitam, a još ređe pišem na istom - uglavnom na poziv ili skretanje pažnje ljudi koje (uživo ili preko interneta) znam. Ako si se opekao na tuđim savetima, šta da ti kažem? Izvukao si neku pouku, ali nije razlog da vređaš nekog koga ne poznaješ.
[ codemaster @ 05.04.2005. 19:26 ] @
Ne volim kad vidim takve price na forumu na kome se na neki nacin najbolje predstavlja open source sirokim narodnim masama (nesrecnici, automehanicari ili kako ih vec nazivas) koje vecito ih vredjate...mislim, ako kazes da se svakome dogodi greska prilikom ucenja, zasto bi govorio da su to "automehanicari"? Mozes sad odgovoriti (samo nemoj da se zamaras, u nekom sam tripu) da si mislio samo na odredjene, ali kada neko procita sta si napisao, a ti i jos neki koji su postovali mozda vaze za likove od kojih mozes nesto nauciti, moze da zakljuci da su BRE svi debili koji oce da uce nesto i da to bude javno (na forumu)?
Molim moderatora da obrise moje poruke;) nema svrhe, samo ja znam sta zelim da kazem, ali ne znam zasto to zelim.
[ popeye @ 05.04.2005. 20:53 ] @
Nesporazum. Kada sam napisao da je nesretnik onaj kome je grub prepisao početak diska, nisam mislio ništa loše - upravo to da nije imao sreće, a da je trebao biti obavešten o mogućim posledicama pre nego što je do toga došlo.
Što se tiče automehaničara ili drugih (a mislio sam baš na ljude koji se bave održavanjem automobila) zašto to smatraš uvredom? Biti automehaničar nije manje vredno zanimanje od nekog IT zanimanja, kao uostalom bilo koje drugo gde se pošteno radi. Pomenuo sam ih sa ciljem da objasnim da računar (Linux) trebaju koristiti i ljudi kojima sami računare ne znače puno u životu. Računari konačno i jesu prilično nebitna stavka.
Ja, recimo, ne znam previše o načinu rada motora sa unutrašnjim sagorevanjem, a opet vozim kola. Sviđa mi se što u modernim automobilima ima putni računar koji obaveštava vozača o raznim događajima. Možda baš automehaničarima ili profesionalnim vozačima, kao stručnjacima u toj oblasti, sva ta obaveštenja deluju suvišno, ali meni su potaman. Ja se, eto, ne bih uvredio da me nazovu programerom ili administratorom.
Uostalom, nekada ljudi jednostavno vide ono što (ne) žele, a ja sam umoran da potanko objašnjavam svrhu svake tačke ili zareza. Pisana reč ima svojih nedostataka i stoga ne treba padati u vatru na prvu loptu.
[ codemaster @ 08.04.2005. 13:53 ] @
[quote[Uostalom, nekada ljudi jednostavno vide ono što (ne) žele, a ja sam umoran da potanko objašnjavam svrhu svake tačke ili zareza. Pisana reč ima svojih nedostataka i stoga ne treba padati u vatru na prvu loptu.[/quote]
Slazem se, i toga treba da budu svesni i oni koji pisu i oni koji citaju;D
[ impaque @ 09.04.2005. 16:07 ] @
Elem, ako se ja dobro sećam priče sa VETŠa, neki UNIXi sabiraju permisije, znači ako si ti vlasnik (u) fajla, za tebe su permisije u+g+o, tako da je dovoljno da samo grupa ima +r, pa je automatski i tebi, ako si pored toga što si owner i u dotičnoj grupi, file readable. Po toj logici, slično važi za grupu (g), koja ima permisije g+o, dok others (o) imaju samo svoje permisije.
Drugim rečima, na tim UNIXima, user je podskup od group i other, a group je od other, što deluje poprilično logično, dok na GNU/Linuxu nema nikakve veze između ta tri pojma, u smislu da ako si user (owner), za tebe važe samo user permisije, a ako nisi user, onda možda upadaš u group permisije, a ako ne ni to, onda other.
[ random @ 10.04.2005. 11:48 ] @
Jel zna neko koji su to Unixi?
Copyright (C) 2001-2025 by www.elitesecurity.org. All rights reserved.
|