Что нельзя руту

akorop	# 7 лет, 8 месяцев назад
Темы: 111 Сообщения: 1755 Участник с: 29 февраля 2012	Sheykhnur А чтобы никто не попортил мои фотографии, я создал отдельную папку и дал ей права другого пользователя, от которого запускается мой дельфин (с просьбой ввести пароль того пользователя). Никто туда, кроме ВНЕЗАПНО рута не сунется. А если вы будете от рута работать, то легче всего испортить свои фотографии, ибо рут имеет неограниченные права, ну, очевидно же! Не очевидно. Слабая защита. А пароли вводить на своём персональном компьютере - это ритуальный мазохизм. Тут нет тех опасностей, от которых можно защититься паролем. У меня для фотографий и подобных данных выделен отдельный раздел, который нормально не смонтирован. Так что туда даже рут не сунется ВНЕЗАПНО. И с бэкапами аналогично.

# 7 лет, 8 месяцев назад

Сообщения: 1755

Участник с: 29 февраля 2012

Sheykhnur
А чтобы никто не попортил мои фотографии, я создал отдельную папку и дал ей права другого пользователя, от которого запускается мой дельфин (с просьбой ввести пароль того пользователя). Никто туда, кроме ВНЕЗАПНО рута не сунется. А если вы будете от рута работать, то легче всего испортить свои фотографии, ибо рут имеет неограниченные права, ну, очевидно же!

Не очевидно. Слабая защита. А пароли вводить на своём персональном компьютере - это ритуальный мазохизм. Тут нет тех опасностей, от которых можно защититься паролем.
У меня для фотографий и подобных данных выделен отдельный раздел, который нормально не смонтирован. Так что туда даже рут не сунется ВНЕЗАПНО. И с бэкапами аналогично.

Sheykhnur	# 7 лет, 8 месяцев назад
Темы: 16 Сообщения: 244 Участник с: 05 февраля 2013	А зачем вам разгребать права chown'ом? Коль скоро рут у вас будет единственным юзером проще вообще про остальных забиыть и удалить лишние учётки. Вообще интересная ситуация получается у вас: разработчики программ из кожи вон лезут, чтобы снизить уровень прав, с которыми может работать их программа (X'ы, например), а у вас наоборот. [email protected]# cat /dev/ass > /dev/head

Sheykhnur

# 7 лет, 8 месяцев назад

Темы: 16

Сообщения: 244

Участник с: 05 февраля 2013

А зачем вам разгребать права chown'ом? Коль скоро рут у вас будет единственным юзером проще вообще про остальных забиыть и удалить лишние учётки. Вообще интересная ситуация получается у вас: разработчики программ из кожи вон лезут, чтобы снизить уровень прав, с которыми может работать их программа (X'ы, например), а у вас наоборот.

[email protected]# cat /dev/ass > /dev/head

akorop	# 7 лет, 8 месяцев назад
Темы: 111 Сообщения: 1755 Участник с: 29 февраля 2012	Sheykhnur А зачем вам разгребать права chown'ом? Коль скоро рут у вас будет единственным юзером проще вообще про остальных забиыть и удалить лишние учётки. Всё, совершил переезд под рута. Прошло на удивление гладко. Так что теперь больше не надо ничего разгребать. Sheykhnur Вообще интересная ситуация получается у вас: разработчики программ из кожи вон лезут, чтобы снизить уровень прав, с которыми может работать их программа (X'ы, например), а у вас наоборот. Во-первых, традиции, кажущиеся незыблемыми. Во-вторых, разные бывают ситуации. Админ сервера - это одно; домашний юзер-чайник - это другое, а домашний юзер-специалист - это таки третье. А в-четвёртых, бездумный курс на снижение прав часто приводит к удивительному. Скажем, для использования RT-шедулера почему-то нужны права рута. Поэтому в сборке Убунту, оптимизированной для музыки (medubuntu, кажется), имеется системный сервис, который работает под рутом и к которому обращаются юзерские приложения, чтобы обойти ограничение, наложенное ядром, и включить у себя RT-шедулер. Стройная система затычек и подпорок. А вообще это не один я такой сильно умный. Я в Линукс пришёл из OS/2, а у IBM была прямая рекомендация: ACL ставить только для сетевой работы, а локально работать с полными правами. Поэтому сначала я был просто в шоке от повального применения сетевых админских традиций для локальной домашней жизни. Да и мире Линукс (я был приятно удивлён) есть единомышленники; например, тут. А ещё есть Puppy, где работа под рутом - режим по умолчанию.

akorop

# 7 лет, 8 месяцев назад

Темы: 111

Сообщения: 1755

Участник с: 29 февраля 2012

Sheykhnur
А зачем вам разгребать права chown'ом? Коль скоро рут у вас будет единственным юзером проще вообще про остальных забиыть и удалить лишние учётки.

Всё, совершил переезд под рута. Прошло на удивление гладко. Так что теперь больше не надо ничего разгребать.

Sheykhnur
Вообще интересная ситуация получается у вас: разработчики программ из кожи вон лезут, чтобы снизить уровень прав, с которыми может работать их программа (X'ы, например), а у вас наоборот.

Во-первых, традиции, кажущиеся незыблемыми. Во-вторых, разные бывают ситуации. Админ сервера - это одно; домашний юзер-чайник - это другое, а домашний юзер-специалист - это таки третье. А в-четвёртых, бездумный курс на снижение прав часто приводит к удивительному. Скажем, для использования RT-шедулера почему-то нужны права рута. Поэтому в сборке Убунту, оптимизированной для музыки (medubuntu, кажется), имеется системный сервис, который работает под рутом и к которому обращаются юзерские приложения, чтобы обойти ограничение, наложенное ядром, и включить у себя RT-шедулер. Стройная система затычек и подпорок.

А вообще это не один я такой сильно умный. Я в Линукс пришёл из OS/2, а у IBM была прямая рекомендация: ACL ставить только для сетевой работы, а локально работать с полными правами. Поэтому сначала я был просто в шоке от повального применения сетевых админских традиций для локальной домашней жизни. Да и мире Линукс (я был приятно удивлён) есть единомышленники; например, тут. А ещё есть Puppy, где работа под рутом - режим по умолчанию.

maisvendoo	# 7 лет, 8 месяцев назад (отредактировано 7 лет, 8 месяцев назад)
Темы: 68 Сообщения: 1142 Участник с: 10 октября 2012	akorop Есть у меня мысль перейти на постоянную работу из-под рута Зачем??? Простите, прочел и ошалел от непонимания. Работать под рутом, чтобы любой скрипт, запущенный на сомнительном сайте с банерами мог писать гадость в любую точку файловой системы? akorop чтобы не было проблем с правами Так права на файлы, их разграничение между пользователями - это основа стабильной и безопасной работы nix системы. Честно говоря не понял идеи P.S.: половина проблем у пользователей винды от того, что они поголовно сидят под админской учеткой. И линукс под рутом не будет мало отличатся P.P.S.: akorop* Поэтому сначала я был просто в шоке от повального применения сетевых админских традиций для локальной домашней жизни. Дело не в традициях, а в том, что вредоносный код, так или иначе запускаемый на машине в том же интернет-браузере, запущенный от имени пользователя не может повредить системным файлам Если сидеть под рутом, то доступ ко всей файловой системе становится открыт не только для вас, но и для потенциально опасного кода Да пребудет с нами Сила...! CPU Intel Core i9 10900-KF/RAM DDR4 128 Gb/NVidia GForce GTX 1080 Ti Turbo 11Gb/SSD M2 512 Gb/HDD Seagate SATA3 2 Tb/HDD Toshiba 3Tb/HDD Toshiba 6Tb http://rusrailsim.org

maisvendoo

# 7 лет, 8 месяцев назад (отредактировано 7 лет, 8 месяцев назад)

Темы: 68

Сообщения: 1142

Участник с: 10 октября 2012

akorop
Есть у меня мысль перейти на постоянную работу из-под рута

Зачем???
Простите, прочел и ошалел от непонимания. Работать под рутом, чтобы любой скрипт, запущенный на сомнительном сайте с банерами мог писать гадость в любую точку файловой системы?

akorop
чтобы не было проблем с правами

Так права на файлы, их разграничение между пользователями - это основа стабильной и безопасной работы *nix системы.

Честно говоря не понял идеи

P.S.: половина проблем у пользователей винды от того, что они поголовно сидят под админской учеткой. И линукс под рутом не будет мало отличатся

P.P.S.:

akorop
Поэтому сначала я был просто в шоке от повального применения сетевых админских традиций для локальной домашней жизни.

Дело не в традициях, а в том, что вредоносный код, так или иначе запускаемый на машине в том же интернет-браузере, запущенный от имени пользователя не может повредить системным файлам

Если сидеть под рутом, то доступ ко всей файловой системе становится открыт не только для вас, но и для потенциально опасного кода

Да пребудет с нами Сила...!
CPU Intel Core i9 10900-KF/RAM DDR4 128 Gb/NVidia GForce GTX 1080 Ti Turbo 11Gb/SSD M2 512 Gb/HDD Seagate SATA3 2 Tb/HDD Toshiba 3Tb/HDD Toshiba 6Tb
http://rusrailsim.org

Velesich	# 7 лет, 8 месяцев назад
Темы: 14 Сообщения: 784 Участник с: 23 апреля 2013	Есть множество терминалов с табами (yakuake, в KDE - console и т.д.). Открываем одну вкладку под рутом, остальные - под юзверем, и никаких проблем - работаем под своим именем, при необходимости переходим во вкладку с рутом. Неужели так сложно?

Velesich

# 7 лет, 8 месяцев назад

Темы: 14

Сообщения: 784

Участник с: 23 апреля 2013

Есть множество терминалов с табами (yakuake, в KDE - console и т.д.). Открываем одну вкладку под рутом, остальные - под юзверем, и никаких проблем - работаем под своим именем, при необходимости переходим во вкладку с рутом. Неужели так сложно?

akorop	# 7 лет, 8 месяцев назад
Темы: 111 Сообщения: 1755 Участник с: 29 февраля 2012	maisvendoo Если сидеть под рутом, то доступ ко всей файловой системе становится открыт не только для вас, но и для потенциально опасного кода Вооще-то я об этом уже говорил, похоже, мы таки съезжаем в холивар. Но кратко повторю: то, что мне в файловой систем действительно жалко, никакого отношения к правам рута не имеет. Например, мои фотографии. А систему мне не жалко. И боюсь я не чьего-то вредоносного кода, а своей невнимательности, поэтому не хочу отвлекаться на возню с sudo и правами. maisvendoo P.S.: половина проблем у пользователей винды от того, что они поголовно сидят под админской учеткой. И линукс под рутом не будет мало отличатся Вот когда реально появится вредоносный код, заточенный под десктопный линукс, тогда я буду и ходить в интернет из-под специального пользователя. Но это никак не отменяет того, что основная работ будет под рутом. Советую всё-таки глянуть на puppy, например вот тут описан разумный подход к безопасности, а не бездумный перенос на домашний компьютер приёмов, адекватных для сервера. Принципиально дело в том, что сетевая безопасность и локальная безопасность - это абсолютно разные проблемы, и вряд ли существуют решение, накрывающее их обе. И те приёмы, которые обычно применяются для сетевой безопасности, совершенно неадекватны для локальной безопасности. Ну, скажем, локально защиты от повреждения данных просто не существует, а локальную защиту от похищения данных даёт только шифрование. Потому что злоумышленник может вынуть диск и шваркнуть об пол или положить себе в карман. А права доступа не дают ничего, кроме геморроя.

akorop

# 7 лет, 8 месяцев назад

Темы: 111

Сообщения: 1755

Участник с: 29 февраля 2012

maisvendoo
Если сидеть под рутом, то доступ ко всей файловой системе становится открыт не только для вас, но и для потенциально опасного кода

Вооще-то я об этом уже говорил, похоже, мы таки съезжаем в холивар. Но кратко повторю: то, что мне в файловой систем действительно жалко, никакого отношения к правам рута не имеет. Например, мои фотографии. А систему мне не жалко. И боюсь я не чьего-то вредоносного кода, а своей невнимательности, поэтому не хочу отвлекаться на возню с sudo и правами.

maisvendoo
P.S.: половина проблем у пользователей винды от того, что они поголовно сидят под админской учеткой. И линукс под рутом не будет мало отличатся

Вот когда реально появится вредоносный код, заточенный под десктопный линукс, тогда я буду и ходить в интернет из-под специального пользователя. Но это никак не отменяет того, что основная работ будет под рутом. Советую всё-таки глянуть на puppy, например вот тут описан разумный подход к безопасности, а не бездумный перенос на домашний компьютер приёмов, адекватных для сервера.

Принципиально дело в том, что сетевая безопасность и локальная безопасность - это абсолютно разные проблемы, и вряд ли существуют решение, накрывающее их обе. И те приёмы, которые обычно применяются для сетевой безопасности, совершенно неадекватны для локальной безопасности. Ну, скажем, локально защиты от повреждения данных просто не существует, а локальную защиту от похищения данных даёт только шифрование. Потому что злоумышленник может вынуть диск и шваркнуть об пол или положить себе в карман. А права доступа не дают ничего, кроме геморроя.

Natrio	# 7 лет, 8 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	akorop, я полностью согласен, ценные материалы нужно защищать/сохранять дополнительно, и работа под юзером тут не поможет. Однако, тут есть один нюанс, про который не стоит забывать. "Пользователи", как и вся система разделения и ограничения "прав" доступа, не имеют никакого отношения к живым людям. На самом деле, вся эта терминология касается не вас, а исключительно программ. Не вы, или кто-то из других людей, а исключительно программы на вашем компьютере запускают друг друга, время от времени снисходя до того, чтобы принимать и интерпретировать по своему разумению сигналы, посылаемые вами. И только встроенные в систему искусственные ограничения, известные как механизмы разделения прав доступа программ, позволяют вам в той или иной степени контролировать протекающие в машине неуловимые процессы, и при некотором умении, ~~предотвратить локальное восстание роботов~~ не дать им зайти слишком далеко :) К сожалению, слишком часто можно видеть обратную ситуацию – предоставленная сама себе куча программ живёт своей жизнью, и умирает своей смертью.

Natrio

# 7 лет, 8 месяцев назад

Темы: 47

Сообщения: 4763

Участник с: 08 января 2011

akorop, я полностью согласен, ценные материалы нужно защищать/сохранять дополнительно, и работа под юзером тут не поможет.

Однако, тут есть один нюанс, про который не стоит забывать.
"Пользователи", как и вся система разделения и ограничения "прав" доступа, не имеют никакого отношения к живым людям.

На самом деле, вся эта терминология касается не вас, а исключительно программ. Не вы, или кто-то из других людей, а исключительно программы на вашем компьютере запускают друг друга, время от времени снисходя до того, чтобы принимать и интерпретировать по своему разумению сигналы, посылаемые вами.

И только встроенные в систему искусственные ограничения, известные как механизмы разделения прав доступа программ, позволяют вам в той или иной степени контролировать протекающие в машине неуловимые процессы, и при некотором умении, ~~предотвратить локальное восстание роботов~~ не дать им зайти слишком далеко :)

К сожалению, слишком часто можно видеть обратную ситуацию – предоставленная сама себе куча программ живёт своей жизнью, и умирает своей смертью.

akorop	# 7 лет, 8 месяцев назад (отредактировано 7 лет, 8 месяцев назад)
Темы: 111 Сообщения: 1755 Участник с: 29 февраля 2012	Natrio И только встроенные в систему искусственные ограничения, известные как механизмы разделения прав доступа программ, позволяют вам в той или иной степени контролировать протекающие в машине неуловимые процессы, Красиво звучит, только к моей реальной жизни отношения не имеет. На моём компьютере главная задача настройки - моё удобство, а главный деструктивный фактор - я. И чем меньше я буду отвлекаться на фигню, защищающую неизвестно что от неизвестно чего, тем мне будет удобнее, и тем меньше я наделаю ошибок. К слову, мои ощущения от пол-дня под рутом: как будто избавился от насморка. А сколько костылей стало лишними! К примеру, вот так у меня раньше вызвалась досовая игрушка Пентикс: `sudo nice -n -20 su $USER -c "dosbox -c c:\\\\GAMES\\\\p.bat"`

akorop

# 7 лет, 8 месяцев назад (отредактировано 7 лет, 8 месяцев назад)

Темы: 111

Сообщения: 1755

Участник с: 29 февраля 2012

Natrio
И только встроенные в систему искусственные ограничения, известные как механизмы разделения прав доступа программ, позволяют вам в той или иной степени контролировать протекающие в машине неуловимые процессы,

Красиво звучит, только к моей реальной жизни отношения не имеет.
На моём компьютере главная задача настройки - моё удобство, а главный деструктивный фактор - я. И чем меньше я буду отвлекаться на фигню, защищающую неизвестно что от неизвестно чего, тем мне будет удобнее, и тем меньше я наделаю ошибок.
К слову, мои ощущения от пол-дня под рутом: как будто избавился от насморка. А сколько костылей стало лишними! К примеру, вот так у меня раньше вызвалась досовая игрушка Пентикс:

sudo nice -n -20 su $USER -c "dosbox -c c:\\\\GAMES\\\\p.bat"

Natrio	# 7 лет, 8 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	akorop вот так у меня раньше вызвалась досовая игрушка Пентикс: `sudo nice -n -20 su $USER -c "dosbox -c c:\\\\GAMES\\\\p.bat"` Ужас :) А теперь как?

indeviral	# 7 лет, 8 месяцев назад
Темы: 38 Сообщения: 3196 Участник с: 10 августа 2013	akorop кто то говорил что раньше посмертно отлучали от сервера за мысль о `rm -f` под рутом, а счас линейки стали пластмассовые, дверные косяки ненадёжные... даже мер воздействия нету(( Ошибки в тексте-неповторимый стиль автора©

indeviral

# 7 лет, 8 месяцев назад

Темы: 38

Сообщения: 3196

Участник с: 10 августа 2013

akorop
кто то говорил что раньше посмертно отлучали от сервера за мысль о

rm -f

под рутом, а счас линейки стали пластмассовые, дверные косяки ненадёжные... даже мер воздействия нету((