Спор на счет sudo и прав на редактирование (отделено от темы в разделе Ubuntu)

[nesk]

Хммsmile.gif изменяете права файла, правите, изменяете права обратно?

Нет. root может легко читать/писать файл на котором вообще никаких прав нет (000).

[Dunris]

Хммsmile.gif изменяете права файла, правите, изменяете права обратно?

Нет. root может легко читать/писать файл на котором вообще никаких прав нет (000).

nesk, давайте сразу договоримся не создавать отдельных тем на форуме, посвященных этому вопросу
Так вот сделал только что. Залогинился рутом, открыл vim, открывает с оговоркой [только чтение]. Файл сохранить тоже нельзя.
Права на файл даже более демократичны, чем Вы сказали: 0440.

[nesk]

. Залогинился рутом, открыл vim, открывает с оговоркой [только чтение]. Файл сохранить тоже нельзя.

У меня нет линукса.
но я точно помню, что надо нажать
:w!

Это не ядро Вас ограничивает, а услужливый vim (но с ним можно договориться по хорошему)

PS. темы создаю не я Это меня местные модераторы отрезают в отдельные темы.
Но данные вопрос не философский, а чисто технический. Я уверен двух мнений быть тут не может

[Dunris]

. Залогинился рутом, открыл vim, открывает с оговоркой [только чтение]. Файл сохранить тоже нельзя.

У меня нет линукса.
но я точно помню, что надо нажать
:w!

И правильно помните... Да... как-то не замечал раньше "нажмите ! чтобы обойти проверку"
Спасибо, за подсказку, хоть я и сам на нее нарвался

PS. темы создаю не я Это меня местные модераторы отрезают в отдельные темы.

Ну, одна то, Ваша, в "тематическом флейме" появилась

[drBatty]

Хммsmile.gif изменяете права файла, правите, изменяете права обратно?
Притом, что если нарушите синтаксис, и нет администраторской учетки, есть шанс огрести проблем.
Имхо, не очень полезная практика. Я однозначно за visudo.

а у меня всё равно через sudo нельзя запустить "что угодно", как у вас
у меня через sudo только ограниченный круг программ, которые требуют прав рута.
для решения административных задач нужна администраторская учётка. Юзер - НЕ ДОЛЖЕН править конфиги системы.

[drBatty]

Нет. root может легко читать/писать файл на котором вообще никаких прав нет (000).

У меня под рукой нет машины с Linux.

ну и не говорите ерунды. не может. хотя смотря что понимать под "писать"

Код: Выделить всё

echo aaa >> test

разрешается.
кстати, даже рут не сможет выполнить свой файл, если выполнение запрещено:

Код: Выделить всё

~# ./test
bash: ./test: Отказано в доступе

т.е. читать/писать может, но только самыми простыми способами, выполнять - не может.

PS: ещё прикол про sed: она умеет редактировать ЛЮБЫЕ файлы с ключом -i, даже запущенная от юзера sed может
подправить файл рута с правами 000.
Достаточно права записи в каталог. Любопытно, что исправленный файл будет тоже с правами 000.

[nesk]

ну и не говорите ерунды. не может. хотя смотря что понимать под "писать"

Очевидно выполнять системные вызовы read() и write()
И как следствие редактировать файл например через vi

кстати, даже рут не сможет выполнить свой файл, если выполнение запрещено:

Я в курсе, но это совсем другой системный вызов: execve()
Это Вы к чему? я писал конкретно "читать/писать"
Кстати shell скрипт можно интерпретировать без права на исполнения (sh filename.sh)

PS: ещё прикол про sed: она умеет редактировать ЛЮБЫЕ файлы с ключом -i, даже запущенная от юзера sed может
подправить файл рута с правами 000.
Достаточно права записи в каталог. Любопытно, что исправленный файл будет тоже с правами 000.

Эм

-i[SUFFIX], --in-place[=SUFFIX]
edit files in place (makes backup if extension supplied)

Чудес не бывает.
Если на файл стоят права 000 пользователь туда записать ничего не сможет и прочитать от туда тоже ничего не сможет.
Однако, если на каталоге стоят права 777, то это значит, что кто угодно может создать файл в этом каталоге, а так же удалить любой (чей угодно файл, с какими угодно правами) файл из этого каталога.
то есть если есть каталог с d1 с правами 777, а в нем файл f1 с правами 000 принадлежащий пользователю root
То пользователь nobody может удалить файл f1 и создать на его месте новый файл с именем f1 (принадлежащий уже пользователю nobody)
Что бы этого избежать, надо на каталог ставить права 1777
Однако, прочитать содержимое исходного рутового файла f1 (то которое было в файле до его удаления), пользователь nobody не сможет ни при каких обстоятельствах.

[Dunris]

Однако, если на каталоге стоят права 777, то это значит, что кто угодно может создать файл в этом каталоге, а так же удалить любой (чей угодно файл, с какими угодно правами) файл из этого каталога.
то есть если есть каталог с d1 с правами 777, а в нем файл f1 с правами 000 принадлежащий пользователю root
То пользователь nobody может удалить файл f1 и создать на его месте новый файл с именем f1 (принадлежащий уже пользователю nobody)
Что бы этого избежать, надо на каталог ставить права 1777

Все верно, только одно уточнение: права 1777 запретят удаление рутовского файла только если юзер не является владельцом d1, иначе - все равно удалит

[Ленивая Бестолочь]

Все верно, только одно уточнение: права 1777 запретят удаление рутовского файла только если юзер не является владельцом d1, иначе - все равно удалит smile.gif

какое-то у вас масло немасляное.
если файл "рутовский" так понятно, что юзер не является владельцем файла, он же "рутовский".

[drBatty]

Это Вы к чему?

я не думал, что именно Вы поведётесь на эту уловку.
конечно я знал об этом - цель поста - заставить читать маны, где всё это написано...

Достаточно права записи в каталог. Любопытно, что исправленный файл будет тоже с правами 000.

Эм smile.gif
Цитата
-i[SUFFIX], --in-place[=SUFFIX]
edit files in place (makes backup if extension supplied)

Чудес не бывает.

конечно не бывает. если понимать, КАК это работает...

Что бы этого избежать, надо на каталог ставить права 1777
Однако, прочитать содержимое исходного рутового файла f1 (то которое было в файле до его удаления), пользователь nobody не сможет ни при каких обстоятельствах.

легко сможет. и флажок t не поможет - дело в том, что файлы в каталоге с правами 1777 может удалять рут И владелец каталога. И владелец файла. а читать их там может кто угодно, если конечно владелец файла явно не
запретил чтение. Потому владелец каталога 1777 может изменять как хочет все файлы в этом каталоге, если у него есть права чтения к файлам (и ничего кроме этого).

$

drb@localhost:~$ mkdir test drb@localhost:~$ chmod 1777 test drb@localhost:~$ su -c 'echo XXXXX > test/xxx.txt' Password: ******* drb@localhost:~$ cat test/xxx.txt XXXXX drb@localhost:~$ ls -l test итого 4 -rw-r--r-- 1 root root 6 2009-09-10 21:21 xxx.txt drb@localhost:~$ rm test/xxx.txt rm: удалить защищенный от записи обычный файл `test/xxx.txt'? y drb@localhost:~$ ls -l test итого 0

Что касается /bin/sh my_script, то вы свой скрипт так не запускаете, вы запускаете /bin/sh, а она выполняет команды ПРОЧИТАННЫЕ из скрипта. впрочем как и почти любой запуск скрипта, кроме простого [path/]my_script,
в этом единственном случае, оболочка сначала проверит право на запуск скрипта, а лишь затем выполнит sha-bang, которому, в свою очередь, потребуются права на чтение скрипта.

[drBatty]

если файл "рутовский" так понятно, что юзер не является владельцем файла, он же "рутовский".

удаление и создание файлов не зависит от прав на эти файлы...
если файл рутовский, то это ничего не значит - любой может его удалить, если есть доступ к модификации каталога.
единственное что может спасти такой файл - это если рут сделал хардлинк на этот файл в защищённом каталоге, к примеру в своём. тогда хоть юзер и удалит файл, но у рута останется другое имя, и сам файл тоже.

[Dunris]

Все верно, только одно уточнение: права 1777 запретят удаление рутовского файла только если юзер не является владельцом d1, иначе - все равно удалит smile.gif

какое-то у вас масло немасляное.
если файл "рутовский" так понятно, что юзер не является владельцем файла, он же "рутовский".

...файлы в каталоге с правами 1777 может удалять рут И владелец каталога. И владелец файла. а читать их там может кто угодно, если конечно владелец файла явно не
запретил чтение. Потому владелец каталога 1777 может изменять как хочет все файлы в этом каталоге, если у него есть права чтения к файлам (и ничего кроме этого).

nesk под d1 имелл ввиду каталог, в котором находится файл, принадлежащий руту. Если nobody - владелец этого каталога, то и файл лежащий в нем сможет удалить.
А вообще имхо еще одна тема ниочем...
P.S. drBatty, спасибо за процитированную мной выше информацию по правам, для меня, если честно, это было кое-что новое (я про "владелец каталога может изменять как хочет все файлы в этом каталоге, если у него есть права чтения к файлам")

[Ленивая Бестолочь]

удаление и создание файлов не зависит от прав на эти файлы...

да, конечно. извините, не въехал сразу, что имелось в виду.

кстати - в угоду флейму: часто, когда возникают диспуты с виндовыми админами на тему файловых серверов на самбе и на винде слышу фразу "ну галочек в безопасности то у нас больше, чем у вас". как администратор домена и файловых серверов на самбе могу сказать, что жить мне это не помешало еще не разу, виндовые галочки снятся мне в кошмарах, а setfacl в приятных, теплых снах.
какого ваше мнение - может ли самба-сервер (с acl и храниением dos аттрибутов в xattr) полноценно реализовывать виндовые галочки? не по отображению, а по функционалу.

i	Уведомление от модератора vinny
	тема подверглась повторному вынужденному переселению. надеюсь, что местный модератор не будет возражать и она обретет тут постоянную дислокацию. (:

[drBatty]

когда возникают диспуты с виндовыми админами на тему файловых серверов на самбе и на винде слышу фразу "ну галочек в безопасности то у нас больше, чем у вас". как администратор домена и файловых серверов на самбе могу сказать, что жить мне это не помешало еще не разу, виндовые галочки снятся мне в кошмарах,

+500.
к счастью, я не администрирую самбу

какого ваше мнение - может ли самба-сервер (с acl и храниением dos аттрибутов в xattr) полноценно реализовывать виндовые галочки? не по отображению, а по функционалу.

интересно, какую галку нельзя реализовать на простом FTP сервере? Без MySQL, просто простыми правами, юзерами и группами? Честно говоря, я не понял тайный смысл всех этих галок (к тому-же у меня не было, ни необходимости, ни желания), потому в данном вопросе я не разбираюсь (в сетевой виндовой ФС).

[IMB]

какого ваше мнение - может ли самба-сервер (с acl и храниением dos аттрибутов в xattr) полноценно реализовывать виндовые галочки? не по отображению, а по функционалу.

Это очень философский вопрос. Кому то хватит, кому то нет. Согласитесь, что через галочки проще выставить права при большом уровне вложения или большом количестве пользователей. И понятное дело очень много зависит от "локальных" требований - количество и квалификация администраторов, скорость ввода в строй и восстановления, скорость и качество внесения изменений.

[Ленивая Бестолочь]

Согласитесь, что через галочки проще выставить права при большом уровне вложения или большом количестве пользователей.

при действительно большом количестве пользователей, особенно названых типа:
invanovaa, invanovab, invanovac, invanovad, ....
начинаешь тихо ненавидеть галочки и учить микросовтовский шел.
то, что галочки наглядней - это да, спору нет.

вопрос был в том, предоставляют ли галочки действительно больший функционал идеальному сферическому администратору винды в вакууме, чем samba+acl+xfattr аналогичному админу *nix.