Pravi Linux geek korisnici ionako ne koriste Fedoru, pa ni Red Hat :)
Sminka i komercijala. Need I say more? :)

Ma da... Microsoft programeri nasli srecu u Fedora projektu :)

Uzgred, osim fakta da je Microsoft do Viste korisnicima po defaultu davao root login na client-OSevima tipa XP i Win2k nema blage veze sa faktom da sam NT kernel ima sasvim normalne permisije (stavise, prilicno su fleksibilne) i da ne-root korisnici ne mogu da menjaju sistemske resurse pa ni da instaliraju programe ako installeri zahtevaju menjanje sistemskih resursa.

Takodje, uopste ne vidim razlog zasto ne-root korisnik ne bi mogao da instalira aplikaciju u svoj home direktorijum bez potrebe da uzurpira bilo kog drugog korisnika - i za to mu ne treba nikakav root, pod uslovom da sama aplikacija nema potrebu da menja sistemske parametre / fajlove, a vecina korisnickih aplikacija i ne bi trebalo to da radi.

Meni ti installeri koji obavezno traze root privilegije idu na zivce - secam se dok sam koristio kompanijski laptop na kome nisam imao admin login da nisam mogao najobicniji media player da stavim jer je imbecilni installer proces trazio root - iako je savrseno moguce instalirati ceo paket u korisnicki direktorijum.

Foobar2000 je imao lepu lokalnu opciju - da se instalira u korisnicki direktorijum i da ne dira nista na sistemu.

Aplikacije treba da budu tako dizajnirane... a ne da mi svaka qrcevita aplikacija trazi root, a onda instalira gomilu drajvera, servisa i da se onako pausalno strpa u /startup... i naravno, na sve to da doda svoj "auto update"... more mrsh.

Jesi li probao da patentiras ovo za Red Hat? ;)

Edit: Zar je "nasminkani & komercijalni" Red Hat jos uvek ziv? /edit

Sta koriste "Linux geek korisnici"? Sta nije "sminka i komercijala"?

Zato sto aplikacija moze biti maliciozna bez obzira na to u kojem se direktorijumu nalazi?

Edit: Zato sto kod POSIX sistema svi programi idu u jedan osnovni direktorijum (na *NIX /usr)? /edit



'Oces da kazes da ti preferiras da korisnik instalira aplikaciju u korisnicki direktoriju, a da zatim OS trazi i izvrsava "update" i da sve to bude "safe"? :D :D :D

Znao sam da cu ovom temom malo carnuti tvoju iskricavost & elokvenciju da razbijem monotoniju svakodnevnice.

Pa znas kako, ja odbijam da budem beta tester za komercijalnu verziju Linuxa a da za to nisam adekvatno placen ;-) To je Fedora u prevodu...

Instalacija u home direktorijum je ok - samo nesto cisto sumnjam da je to slucaj, bilo koji user na masini moze da instalira bilo sta u /usr direktorijum sto nikako nije pametno, na kraju krajeva to nije bio slucaj od kako postoji *nix tako da ovo je cisti marketinski b***hit koji moze da im se obije o glavu.

Pa sad, u cemu je razlika izmedju toga i mogucnosti korisnika da pokupi C/C++ kod, i odradi make u svom direktorijumu i kao rezultat dobije binarne fajlove i biblioteke? I oni mogu biti "maliciozni", a po defaultu sigurnosna podesavanja gotovo svih popularnih distro-a to ne brane.

Ako korisnik moze da >napravi< izvrsni fajl u svom /home dir-u, i izvrsi ga u korisnickom kontekstu, ne vidim ama bas i jedan razlog zasto ne bi mogao da instalira aplikaciju pod istim takvim kontekstom, isti djavo.

I, btw, savrseno je moguce tako instalirati aplikaciju i na Linuxu, ako postoji potreba - niko ne sprecava aplikaciju da ucitava sve svoje biblioteke iz /home foldera.

Naravno, to nije Unix "praksa" (nije ni Windows praksa) ali po standardnim sigurnosnim podesavanjima i Linux-a i Windowsa je to moguce raditi.



POSIX specifikacija uopste ne brani izvrsavanje binarnih fajlova i biblioteka iz drugih direktorijuma van /usr. Recimo, test verzija aplikacije koju mi radimo je jedan ZIP fajl, koji mozes da bacis u svoj /home, i sve radi odmah sa svim .so fajlovima itd.. gotovo svi POSIX sistemi koje znam mogu da ucitavaju binarne izvrsne fajlove iz drugih direktorijuma, osim ako to nije zabranjeno od strane root-a (a nije po defaultu)

Naravno, to otezava update, ali korisnik po defaultu ima permisije da to uradi - i na Windowsu i na Linux-u, a vrlo verovatno i na BSD-ovima (nisam probao, ali ne sumnjam da je tako)



Pravo da ti kazem, ne znam zasto ovo vezujes za Windows - Windows ne dozvoljava korisnicima van Administrator grupe da menjaju sistemske fajlove - stavise od verzije 6 NT kernela, neke sistemske fajlove i podesavanja ne mzoe da menja ni Administrator grupa, vec iskljucivo TrustedInstaller (koji je potpisan odgovarajucim kljucevima)

Možda Gentoo? Doduše, upravo osnivač istog pređe svojevremeno u zli M$, da ih malo zarazi open sorsom

A za ovu instalaciju, koliko sam skont'o, regular user instalira kroz binary paket sve redno u /usr, eventualno /etc, pa to i nije baš normalno

>


Moze, jedino je to i ostalo ako neces da se bakces sa manuelnim
razresavanjem dependencija na Slackware. :D

Jedino sto ne znam koliko se to odrazava na trajanje procesora, s
obzirom da portage kompajlira. Gentoo nisam stigao da probam pre nego
sto sam presao na pravu stvar.

Ok, skontali smo sta si hteo da kazes, FreeBSD je prava stvar ;) sada moze lock ;)

>


Eto! Upravo je u tome poenta! Nedotupavna microsoft logika u svetu
jadnog & nezasticenog pingvina! POSIX ne brani!

A koji bi bio IQ obucenom pingvin korisniku da tura neciji .zip
executable u /home? Obrati paznju, target market bi ti bio < 80

Ajd da iskoristim ovu priliku da te pozovem na suzdrzanost i na kolegijalnost, naravno da imas pravo da iznosis svoje misljenje ali gledaj da ga ne naturas plaseci korisnike kojima je potrebna pomoc, ako neko trazi literaturu da migrira sa windows-a na linux ili na bsd - ok, posaljes mu svoj link ali nemoj da pretpostavljas da ce se brze snaci sa njim nego sa nekim linux distroom.

Elem ontopic, ja kao user mogu da napravim rpm i da ga preko yum-a inject-ujem u /usr ako mi cp * /usr nije dozvoljeno od strane root-a zar ne?

I bestragamuglava - gentoo i arch su ti veoma slicni, samo sto se na arch-u ne kompajlira nista - ali downside je sto nije bas tweaked za tvoju konfiguraciju...

>


That's the spirit, my boy, that's the spirit!

E stvarno smesno - kakve crne veze to ima sa Microsoftom? I ne pricam o "zip executable" vec samo o arhivi u kojoj se nalaze izvrsni fajlovi i biblioteke - ocigledno nisi skontao pre nego sto si krenuo da se lozis i siljis svoj e-penis.

Jel mozes na svom sistemu da kreiras izvrsnu datoteku i da ona vuce biblioteke iz /home direktorijuma?

Mozes. Napravi "hello_world.c", iskompajliraj ga gcc-om i poteraj. Da li se izvrsava? Izvrsava se. Kraj price.

Nema tu IQ ili ne IQ - podrazumevena sistemska sigurnosna podesavanja na gotovo svim popularnim Linux-ima (a i na BSD-ima najverovatnije, nisam probao ali ne vidim zasto ne bi bilo tako) omogucavaju izvrsavanje binarnih izvrsnih fajlova i ucitavanje biblioteka iz /home foldera.

Koliko znam, nije Microsoft to napravio, tako da moras da se zalis nekom drugom - probaj Sv. Theo de Raadt-u.

Uzgred, zasto ne bih smeo da izvrsim nesto sto testiram iz /home direktorijuma sa sopstvenim user privilegijama?

Sekta zabranjuje, ili sta?



Moj target market se zove Mercedes S klasa, tj. multimedijalni sistem iste - i korisnik nema ama bas nikakvog prava pristupa nicemu, osim korisnickom interfejsu... ali hvala na savetu, iako ga nisam trazio.

Ej nije to nista cudno, cak neki su i staticki kompajlirani pa ti ne treba biblioteka da bi radio, sve program tera u dir-u iz koga se pokrece, a ja mogu da ga pokrenem iz bilo kog dir-a u kome imam rwx dozvole... Takvih je sve manje i manje ali ima ih... Ljudi ne planiraju dalje da rade na njegovom razvoju a ne mogu da gataju u pasulj da li ce da dodje do nekog bump-a u buducnosti i ponude lib-ove sa sve app-om...

Ono sto mene nervira je da neko moze da ubaci bilo kakav kod/skript/binary u /usr ili gde god hoce sa yum-om... A da za to i nema dozvole :) Mislim tako ispada - Root is dead, long live thE_Root

Pa ocigledno je nasem bestragamuglava neki problem... valjda treba da imas mali IQ da bi poterao izvrsni fajl iz svog /home direktorijuma sa sopstvenim user-privilegijama... Svi u profi POSIX sekti se krste levom nogom, i sve svoje .so fajlove drze u /usr direktorijumu :-)

Iako to ni jedan popularni POSIX-oid po defaultu ne zabranjuje izvrsavanje iz /home foldera, i to uopste nije retka praksa u testiranju / razvoju.

A za to je naravno kriv Microsoft, njihovi programeri su se odavno usunjali u Linux elitu, i krenuli da ruse sistem iznutra tako sto su dozvolili ljudima da izvrsavaju fajlove iz /home direktorijuma i jos i kupe .so fajlove odatle - ruse sistem iznutra ko srpski gastarbajteri hahahah :)

Recimo, sasvim je uobicajeno na multi-user sistemima tipa na uni-jima i raznim service-provajderima i sl... da korisnici imaju svoj /home i da odatle mogu da kompajliraju i izvrsavaju svoje stvari u svom kontekstu. Kako li ih nije sramota, to mora da ih je Microsoft naucio - treba da pitaju administratora da im da root, i da im dozvoli da svoje radove uvek instaliraju po sistemskim direktorijumima :))))))))

Jbote...

>


Stvarno nisam imao lose namere.

Stvarno je to veoma dobronameran savet, koji bih uputio svakom ko se
mlati kompjuterima i zasniva se na mom licnom iskustvu. I tebi to
najtoplije preporucujem - probaj. I, naravno, meni to nije ni iz dzepa
ni u dzep, ali tipujem da bi tebi moglo biti u dzep.

I potpuno je istinit, izuzev ukoliko nisi na nekoj visokoskolskoj
ustanovi gde ti je dobar deo programa proucavanje funkcionisanja
operativnih sistema, a tako nesto kod nas ne postoji kol'ko ja znam (a
ne pretendujem da znam), izuzev, mozda, vise et skole u bgd.

Ali dobro, poruka primljena, obraticu paznju ubuduce.



Nisam siguran da bi mogao svuda, moze da zavisi od potpisa paketa i
sigurnosnih mehanizama ugradjenih u os.



Ja sam se dugo meracio da probam gentoo, ali jednostavno nikako nije
stigao na red. Ima odlicnu dokumentaciju, i nisam imao nameru da ga
kudim.

Prosto, ne kudim konja koga nisam jahao.

>


Ovde si u pravu, nisam ukapirao. I jeste, malo e-"siljim", razbijam
monotoniju svakodnevnice. Gde je mlados' tu je i sala. :D :D :D A ti
si mi simpatican kad se strecas. :D



Kol'ko se ja razumem u matematiku & meteorologiju odatle je potekla
politika da instaliras sta 'oces, bez evidencije OS, na koje god mesto
'oces na fajlsistemu. Mozda gresim? Prosli put si me podsetio za
Nowell, mozes sad za jos nesto.



Od oko 9 masina koje trenutno jasem tako nesto mogu da izvedem samo na
jednoj. Samo ona ima comp.tgz (kompajleri)



Podrazumevana ne, ali je moguce. Samo sto nije zdravo tako
nesto dozvoliti neprivilegovanom korisniku, s tim ces se ipak sloziti?



Bravo, keep going for it.



Nice jabs. :D

S'a cu, moram da trpim kad sam sam zapodenuo. Ne vredi mi da se
branim, iako nije istina. :D

Aj' ziv ti meni bio.

Normalno... Ok, ti znas da smo mi tamo na Linuxu pacifisti pa ono - ne volimo da se svajdamo i prepiremo oko distro-a, cisto ono neka korisnik vidi sam sta mu najvise odgovara a mi mu samo konkretno ono... Znas i sam vec.



Mislio sam konkretno na Fedoru. Nesto se ne secam da je Fedora imala takav mehanizam, u protivnom on bi mi zabranio da yum-nem sa drugog repo-a nesto. A ne zabranjuje :D Cak sta vise sam siguran da mogu da roknem u rpm exploit mirne duse i da ga kao user metim gde god hocu :D Ako je u tome stvar, pogledacu bas ovih dana kako su to zamislili sa onih linkova gore...

Inace je diskusija interesantna, o5 se sve svodi na to da li Linux distribucije treba banalizovati do te mere - da postanu obicno djubre. Ubuntu patch-uje da bi bio vizuelno privlacniji, Fedora uvodi inovacije i zaobilazi mainstream, SuSe nudi 1-click install a pate od nekih osnovnih boljki kao sto je dobar dep resolving. Sta je sledece, Gentoo se instalira preko voice recognition-a ? :D

Sve u svemu ja sam bukvalno bio sateran u cosak - Red Hat, pa Slackware, pa Mandrake jedno 4-5 godina, pa Fedora godinu dana, pa Ubuntu dve i onda Gentoo i Arch su bili logican izbor. Arch je prevagnuo samo zbog kompajliranja koje mi maltretira laptop i gura celzijuse na procu tokom obicnog update-a.

Do pre 3-4 meseca sam mislio da se Linuxu crno pise. X nije valjao nizasta, cak mu ni buducnost nije bila svetla, nemaju ljudstva, nemaju kesha, nemaju beta testere, release-ovi kasne mesecima, ne mogu da napisu standardan ABI da bi nVIDIA i ATI mogli da napisu drajvere kako treba, alternative nema, KDE 4 nestabilan (sad su ga popravili dosta), dakle Gnome ili neki tiling WM ostaju kao opcije, kernel se bloat-uje ali sa tim znam da se izborim. Na srecu opensource drajveri su poceli da bivaju dovoljno mature, kms i gallium bi trebalo da nas iscupaju, X developeri se dovatili malo razuma pa poceli da uvode pravila kako i sta se commit-uje i kada, izgleda da ce sve biti ok. Ali posle svega ovoga distro developeri su poceli da se zezaju...

Sad mi ovo sa Fedorom lici na dobavljanje sto vise korisnika kojima je potreban simplicity samo zarad toga da Red Hat dobije sto vise bug report-ova zarad peglanja RHEL-a...

Ipak izbor je to sto cupa trenutno pingvine iz gov****, dok god postoji par "normalnih" distribucija - nema zime, osim ako ne zakaze neki veliki projekat kao sto je recimo X bez koga se ne moze, Wayland trenutno nije u stanju u kome bi se mogao exploatisati ali uskoro i X bi mogao da nadje dostojnu zamenu...

>


Ih, bre, sto si ti nakraj srca.

>>
>
>
> Ih, bre, sto si ti nakraj srca.
>
Uzgred, kome da se zalim sto mi moderator brise sasvim razlozne i
informativne poruke na nekoj od tema?

Ukoliko imas bilo kakve zalbe ili primedbe na rad bilo kog moderatora,
za to postoji pod-forum "Predlozi i pitanja" na ES-u.

Ako vec koristis ovaj forum, mogao si bar pravilnike izcitati.

Takodje i pod-forum Predlozi i pitanja ima svoj pravilnik pa i to procitaj.

bestragamuglava, kako bi na tvojoj planeti programer terstirao svoj program na radnoj stanici koju ne administrira on sam, nego IT zaduzen za to?

>


Tako sto bi imao sudo ovlascenja sa svojom lozinkom.

Ili bi imao sisadmina vezanog lancem za radijator pored masine.

Cisto da se razumemo - taj potez Fedore, da za instalaciju programa koji menjaju sistemska podesavanja / fajlove ne trazi root privilegije je cist idiotizam.

Ali to nije doslo od Microsofta svakako - bar ne iz linije njihovih OS-eva koja je jedina u upotrebi u ovoj deceniji - Windows 9x nije imao koncept privilegija uopste, ali NT od 1993 ima sistem privilegija koji je bar jednako dobar kao na Linuxu.

Opet, ponovicu - ako neka aplikacija ne menja sistemsku konfiguraciju, ne vidim zasto korisnik ne bi mogao da je "instalira" u svoj /home direktorijum bez ukljucivanja root privilegija, bas kao sto moze da kompajlira svoje aplikacije - a to >moze< da radi na svakom Linuxoid-u koji nije dodatno osiguran.

Tacno je da to otezava patchovanje, ali aplikacije koje mogu da trce u korisnickom direktorijumu i sa user privilegijama su obicno daleko manja potencijalna sigurnosna rupa za sistem.



Pa zavisi - ako, recimo, imas neki racunski centar - na kome korisnici trce svoje procese, onda ces naravno da im omogucis da trce gcc pod user privilegijama i teraju svoje aplikacije iz svojih korisnickih direktorijuma. Sigurno da neces da im dajes pravo da trce svoje procese kao root i menjaju system-wide fajlove.

Isto vazi i za vecinu service-provajdera sa app hosting-om, ako imas SSH na masinu, obicno imas i gcc tamo, i mozes trcati svoje procese.

Aha, znaci manji je bezbednosni rizik da mu das sudo ovlascenja da upise u /usr program koji on sam pise, nego da ga pokrece iz svog /home direktorijuma?

>


To je sve manje - vise ocekivano. I Linux i tri osnovna BSD su vrlo
zgodna igracka big business za stvaranje korisnicke baze iz kojih mogu
crpeti sisadmine, kao pretnja Microsoftu monopolisti da se ponovo ne
izbezobrazi kao recimo '95 - '96, kao relativno jeftino polje za
eksperimente, itd.

Linux mora da stuca povremeno, zbog sopstvenog ustrojstva.
Organizovani haos je odlican programerima za ucenje, samo je nezgodno
dati im svoju kozu da se na njoj uce.

Kako ce se sve odvijati u buducnosti, videcemo. Jedno je sigurno -
bagova ce uvek biti.

Ja bih drzao oko na OpenBSD, Solaris i Minix3 (pravi ga Andy Tanenbaum
sa kompanijom). Ako Torvalds malo zavede red, i ako neke pare stanu
iza neke ozbiljne distribucije (zamisli Slackware sa aptitude!), bice
zanimljivo.

>


Pa dobro, covece, ne mislis valjda da sam ja ozbiljno uzeo da
dokazujem conspiracy?
:D :D :D

Kako bi tema koju bih otvorio nakucala ovoliko odgovora za tako kratko
vreme da sam izostavio zacikavanja? Gde bi tu bila zabava?

Pa imas Arch Linux, ja sam jedno vreme koristio Slackware,
ali me bas smaralo to sa paketima, a Arch nudi istu "cistocu" zbog koga ljudi i vole Slack
(jednostavnost) a sa druge strane ima super package manager (pacman) i repo-e.

Pat ce pre crci nego staviti apt kao default packet manager :D :D :D



Ne, to znaci da je manji bezbednosni rizik da mu das sudo ovlascenja da upise u /usr nego da mu das root password da upise nesto u /usr (pod ovim nesto mislim na konkretnu aplikaciju). A najmanji rizik (nema ga) je da on u svome home-u kompajlira i radi sta god hoce :D Osim ako nije genius pa provali neki exploit kao sto je onaj sa dereferenciranjem null pointer-a :D

Ja bi im ga predlozio pre ekipici iz SuSE-ta :D

Tzv. "1 click fail ekipa"

Ja bi i ekipici iz SuSe-ta i iz Fedore i iz Mandrive - KO POBOGU SMISLI ONO CUDO OD PACKAGE-KIT-a? (Da derem se :))

>


Pa koj' ce mi pal*c?

Hvala savetu koji nisam trazio (copyright Ivan Dimkovic).

>


Predpostavljamd a je ovo aha namenjeno da istakne tvoju
erudiciju, elokvenciju & iskustvo nasuprot mog neznanja?

Mozda ti je to tesko da pojmis, ali ne postoji nacin da se zastitis od
programera koji testira svoj program na masini. Jedino je pitanje da
li on zna ili ne zna.

Ono sto je moguce to je da os vodi odgovarajucu evidenciju o tome sta
je i gde instalirano, a to nije previse komplikovana stvar i moguce je
zastititi je sve dok programer ne zna root password (poseban problem
bio bi ako testira upravo neku novu verziju nekog john the ripper-a).
Dakle, potpune zastite tu nema.

A svakako ce test rezultati biti pouzdaniji ako mu je dozvoljeno da
testira aplikaciju tako sto ce je staviti na pravo mesto.

Inace, prepoznajem ljude ispodprosecne inteligencije tako sto ne znaju
gde je pravo mesto za stavljanje prave stvari. Jos ako je to praceno
sa "aha", o njima imam bas precizno misljenje.

Koji ti je ovo vec put da svoje sagovornike nazivas neinteligentnima ili glupima?
I jos hoces da se zalis na moderatore sto ti brisu ili edituju poruke? Hajde, zali se
- cuvam sve tvoje pobrisane poruke u kojima ti drugima "dajes savete" na isti ovaj
nacin, pominjuci inteligenciju sagovornika. Video si gde to ne prolazi, pa sad to radis ovde.

A koji ce nama palac FreeBSD? Jel to neko mozda trazio? Naravno da nije,
ali to tebe ne sprecava da trubis o istom na 120 decibela i gde treba i gde ne treba.

Nije potrebna neka inteligencija ni da bi covek razlikovao sta znaci:

a) instalirati aplikaciju sa root privilegijama na pravom mestu
b) instalirati aplikaciju sa user privilegijama u home diru
c) instalirati aplikaciju sa user privilegijama na pravom mestu

pa opet neki ljudi tu malo brkaju loncice, aha...

Ali evo, da ostavimo moju glupost po strani, i da budemo malo konstruktivni - daj bar jedan dobar razlog za zabranu izvrsavanja iz home dira, mozda uspes i da me preobratis u prave vernike...

Kod OS koji poznaje privilege separation tako nesto ne postoji.

Sudo nije user priviledge.



Nemam a potrebe da konvertujem bilo koga, pa ni tebe.

Daj ti meni jedan razlog kojim poboljsavas bilo sta tako sto nekom
dozvolis da instalira bilo sta u /home i onda ga izvrsava, a ne
dozvoljvas mu da instalira u /usr, ili u C:Programs, ili gde god vec.
Sta time dobijas, izuzev nereda po fajlsistemu?

bestragamuglava,

Na single-user sistemu to nema puno smisla.

Medjutim na deljenim sistemima i te kako ima smisla - ako korisnici nisu "trusted" vec su klijenti, njima neces dati mogucnost instalacije/kompajliranja/kreiranja binarnih fajlova koji se mogu izvrsiti na deljenim direktorijumima, vec ce svako imati svoj "sandbox" za svoje projekte, i sl.. u /home.

Recimo ako imas HPC server, gde gomila klijenata moze da koristi CPU resurse ali ti kljenti ne smeju da dodju u mogucnost da kompromituju sistem - naravno da neces njima dati da instaliraju svoje stvari u globalnim direktorijumima i potencijalno dovedu ceo sistem u opasnost / miskonfiguraciju, vec ce oni moci da izvrsavaju svoje projekte iz svojih direktorijuma, bez uticaja na druge.

Danas se to daleko lakse resava virtuelnim masinama, ali one nisu podobne za sve.

Fedorin 'komitet' ili kako se vec zove vrhovno telo distribucije je odlucio da unormalizuje stvar, tako da su maintaneri spornog paketa protiv svolje volje (ocito iz diskusije na bug listi) vratili stvari na pravo mesto. Paket vec sada moze da se skine i oznacen je kao bugfix.

Inace jako interesantno je da sem njih dvojice, u skoro 300 poruka, niko nije imao lepih reci za ovakvu odluku, a oni su se i dalje drzali svoje price 'ljudi sta vam je, pa to je isto kao kad obican user moze da mountuje usb disk'

Simpaticni momci, nadam se da ce iz ovog nesto da nauce, a i lep primer kako community ne mora da sluzi samo za pljuvanje komercijalne konkurencije vec i da pritiskom utice na donosenje ispravnih odluka.

Meni nije uopste jasno kako su mogli doci na tako imbecilnu ideju - toga definitivno nema u Windowsu :)

Nego meni je tu nesto drugo zanimljivo - kako je uopste moguce instalirati programe koji ubacuju stvari po raznim sistemskim direktorijumima bez root privilegija? Zar permisije fajl sistema to ne sprecavaju?

Ne razumem se preterano u packagekit koji koristi fedora (a i mrzi me da sada gledam), verovatno se pozivaju suid skripte/binovi za instalaciju rpmova tj. obrni-okreni opet to odradi root :)

Hm, to sam se i ja zapitao. Otprilike sam PackageKit (preko PolicyKit-a, a ovaj radi preko dbusa) daje prava, slično sudo, za određene akcije.

Cek cek stani

Znaci ako se radi suid, opet mora neko da ispostavi root privilegije... sto znaci da mora da se ukuca root password.

Ako su oni to zaobisli i nekako omogucili obicnom korisniku da inicira akcije kao root bez kucanja sifre, onda je to potencijalna ogromna sigurnosna rupetina.

Evo maksvel se potrudio da procita o cemu se tu zapravo radi.

Inace, suid <> sudo.



Generalno na *nixoidnim sistemima uvek postoje programcici sa setovanim root suid bitom (recimo 'passwd' - za promenu passworda), i da, svaki se smatra potencijalnim sigurnosnim propustom.

HAHAHHAAHHA pa to je idiotizam grande

Znaci da obican korisnik moze da uradi nesto sto root ne bi dozvolio.

Odakle im ovako suluda ideja da mi je znati?

I zasto ljudi misle da su ljudi teletabisi i da ovakve idiotarije znace "laksi rad" ? ??!

Pa, ne bih bio baš toliko izričit. Kontam da se svakako radi o potencijalnom problemu, ali zavisno od toga kako se polise postave od strane administratora.


Krajnji slučaj:



Izvor: http://lwn.net/Articles/258592/
Na Fedori (issue iz naslova teme) su npr. postavljene tako da regular korisnik može da instalira potpisani softver bez potpitanja. (Meni se ovo ne sviđa.) Ali, može biti i drugačija akcija u pitanju.

E, sad ostaje i pitanje interne bezbednosti pratećih daemona..

Realno postoje neke akcije koje obican *nix (ili linux) user ne bi mogao da obavlja ukoliko sistemu ne 'izgleda' kao root. Evo da citiram bas jednog od dvojice nesrecnika:



Kao sto se vidi neke od njih su veoma bitne desktop useru i logicno je da mogu da se obavljaju (media detect & automount/mount, shutdown, suspend zapadaju za oko), ali dozvola svim userima da mogu do mile volje da instaliraju programe iz 'sigurnih' repozitorijuma je van svake pameti; da su napravili neku admin grupu ili poweruser grupu moglo je da im se progleda kroz prste, ovako ne :)

>


Ivane,

Definitivno primecujem da u razgovoru sa Micro$oft korisnicima vrlo
lako dolazim u nesporazum, jer podrazumevamo razlicite stvari.

Ono o cemu ti pricas je ili virtualizacija, ili drugo izolovano
okruzenje - chroot / jail, u kome grupa izolovanih korisnika u svom
direktorijumu ima potrebne alate, od kojih je OS ogradjen u najvecoj
mogucoj meri, razlicitim tehnikama, npr. kopiranjem potrebnih
biblioteka u chrooted direktorijum svakog korisnika.

Ono o cemu je ovde bilo reci je instaliacija programa u normalan
/home, koji nesmetano komuniciraju sa svim delovima OS.

Ni jedno ni drugo nije i ne moze biti apsolutno sigurno, jer apsolutna
sigurnost ne postoji. Sisadminu ce poslednja linija odbrane biti
evidencija o promenama na sistemu.

>


To nije sve sto su uradili.

- dozvolili su obicnom useru da instalira software iz "sigurnih"
repozitorijuma bez password prompt-a; (dakle, ne sudo, nego regular
user ne unosi ni sopstveni password)
- ovo je dozvoljeno samo u jednom od tri package management programa
koji koriste (sto je glupost sama po sebi od koje boluje vecina linux
distribucija koje sam ja video);
-ova promena u default settings nije oglasena u release notes, ili bar
nije dovoljno istaknuta;
-uputstvo za promenu ovog setovanja nije dato; ispostavilo se da se
konfiguracija menja u /var - pa onda u nekom cetvrtom
direktorijumu ispod; a svaki obuceni pingvin ce prvo traziti u /etc;
dakle narusavaju logiku, standard, kako hoces, od logicnog sistema
prave budalastinu;
-nedostatak uputstva za promenu idiotskog default obrazlozen je time
sto nije gotov njegov GUI, pa paket jos "nije zavrsen", a bice u f12
(???)
-kada su ozlojedjeni korisnici otvorili bug, maintainer je isti
pokusao da zatvori; na primedbu da je uneo resenje koje je u
suprotnosti sa nacinom na koji je UNIX uvek funkcionisao, izjavio je
da on "don't particularly care how UNIX always worked".

Bice skoro propast sveta, nek' propadne nije steta.

E tih napucanih developera mi je zaista preko glave. Ubuntu sam zabatalio ne samo zbog njihovog patch-ovanja svega zivog zarad mog lakseg/lepseg iskustva sa ovim os-om nego su i developeri jedna lenja stoka kojima ukazes na problem pa ga ignorisu dok im se ne javi 100 korisnika sa istim problemom nakon release-a. Pa cekaj sto im ja uopste i testiram alphu?
Sa druge strane ovaj Fedorijanac je izgleda mi neka kretencina teska - ako vidis da ti niko zivi ne podrzava tu idiotsku ideju - a ti guras svoju politiku bez obzira na feedback koji si dobio od user-a koji sigurno imaju razloga zasto misle da je Fedora bolji distro od gomile njih koji su dostupni - e to je bezobrazluk. I dovoljan razlog da potrazis novi distro.

Jbt secam se kada sam definitivno presao na arch, nije proslo ni dva dana od kako sam ga instalirao i u repo je usao intelov drajver koji je imao bug sa tiling-om sa trenutnom verzijom xserver-a koji je bio takodje u repo-u. Na bbs-u oglasim to i lik koji je repo maintainer za manje od 10 minuta je taj problematicni intelov drajver vratio na staru verziju. Meni nije bio problem, dovoljna je jedna linija u xorg.conf-u ali vecina korisnika nije i ne mora da bude upoznata sa trenutnim hickup-ovima intelovih drajvera, zamisli da je lik rek'o: "Ma sta me briga za n00b-ove, f*** 'em".

Bice zanimljivo pratiti modifikaciju raznih OS za izuzetno popularne netbook racunare.