LINUX.ORG.RU
BIND с нуля на шлюзе
sendmail и почтовый домен

первое - так и должно быть
второе - чревато проблемами, тем что не будут определяться соотношение имен и uid пользователей, домашний каталог

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

первое это в смысле в как в заголовке темы 644
640 - будет также как и в случае 600, за исключением пользователей входящих в группу владельца

ставьте 644 rw-r-r

или что вы хотите сделать вообще?

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

но не опасно ли то, что пользователи могут видеть содержимое этого файла?
я ничего не хочу сделать, я интересуюсь насчет безопасности. теоретически какой-нибудь нехороший пользователь может посмотреть этот файл, узнать логины других пользователей, и подобрать пароли к ним.

opensuse
() автор топика
Ответ на: комментарий от opensuse

>не опасно

нет, более того, так нужно

теоретически какой-нибудь нехороший пользователь


у вас много нехороших пользователей имеют доступ к системе?

Sylvia ★★★★★
()
Ответ на: комментарий от opensuse

>я ничего не хочу сделать, я интересуюсь насчет безопасности. теоретически какой-нибудь нехороший пользователь может посмотреть этот файл, узнать логины других пользователей, и подобрать пароли к ним.

не давайте пользователю выйти за пределы своего хомяка

Ingwar ★★★★★
()
Ответ на: комментарий от opensuse

>узнать логины других пользователей, и подобрать пароли к ним

если он так мастерски подбирает пароли, то почему не может подобрать и логины?

mydoom ★★★
()
Ответ на: комментарий от Ingwar

каким образом? запретить chmod`ами доступ на директории выше хомяка или chroot`нуть его хомяк? или есть еще способы?

opensuse
() автор топика
Ответ на: комментарий от Sylvia

к моей системе имею доступ только я :)
интересуюсь ради знаний.

opensuse
() автор топика
Ответ на: комментарий от x3al

/etc/shadow можно и sgid делать на группу shadow (проверялки пароля скринсейвера и прочие штуки), но это там где нет PAM.... вообщем слака

Sylvia ★★★★★
()
Ответ на: комментарий от opensuse

>каким образом? запретить chmod`ами доступ на директории выше хомяка или chroot`нуть его хомяк? или есть еще способы?

чрутом хомяка, других способов не знаю.

Ingwar ★★★★★
()
Ответ на: комментарий от Sylvia

> /etc/shadow можно и sgid делать на группу shadow (проверялки пароля скринсейвера и прочие штуки), но это там где нет PAM
поподробнее, пожалуйста

opensuse
() автор топика
Ответ на: комментарий от opensuse

(чмодить) закрывать доступ туда, где секретная инфа. Например, соседние хомяки . А то ты хочешь от него скрыть то, что есть в каждом линуксе - всякие /usr/share/{man,doc} пусть хоть обчитается.

Bers666 ★★★★★
()

Вообще было бы интересно посмотреть на костыль, который скроет из /etc/passwd и /etc/group инфу, не относящуюся к пользователю, их смотрящему :)

Adjkru ★★★★★
()
Ответ на: комментарий от nnz

Не обязательно, может через fuse можно, ну или да, используя модуль dazukofs для перехвата.

Adjkru ★★★★★
()

/etc/passwd(5)

Данный файл нужен, главным образом, для совместимости. Он присутствует во всех UNIX'ах и везде имеет одинаковую структуру. В BSD он не первичен, т.е. генерируется из файла /etc/master.passwd при помощи команды pwd_mkdb(8). В файле присутствует информация о логине пользователя, его оболочке и др.

http://house.hcn-strela.ru/BSDCert/BSDA-course/ch02s12.html#3.2.12-master.passwd

iZEN ★★★★★
()
Ответ на: комментарий от sh_topor

Жуткий изврат.

И не совсем в тему. Он изолирует shadow, а не passwd.

nnz ★★★★
()
Ответ на: комментарий от Adjkru

Вообще было бы интересно посмотреть на костыль, который скроет из /etc/passwd и /etc/group инфу, не относящуюся к пользователю, их смотрящему :)

LDAP-сервер, который отдаёт пользователю только те записи, которые имеют к нему непосредственное отношение. Х.з. есть ли на такое, но по идее возможно.

Deleted
()
Ответ на: комментарий от Deleted

В LDAP можно очень гибко настроить доступ к атрибутам, так что вполне возможно.

undertaker ★★
()

паролей там нет => ничем. у вас же не древний unix/linux, где закриптовыные пароли лежали в /etc/passwd

Cosmicman ★★
()
Ответ на: комментарий от Ingwar

каким образом? запретить chmod`ами доступ на директории выше хомяка или chroot`нуть его хомяк? или есть еще способы?


чрутом хомяка, других способов не знаю.


Ему в хомяк ещё и бинарники с либами надо что ли? Или я не понимаю?

tux2002
()
Ответ на: комментарий от opensuse

зачем подробности? сейчас есть PAM и suid root хелпер PAMа,
раньше когда PAM не было, но уже был shadow, было много программ проверялок пароля, например для скринсейвера, xlock вместо suid root
ставился sgid shadow, файл shadow имел доступ 640 rw-r--- (root.shadow)
таким образом xlock мог читать файл с паролями для проверки , в KDE был kcheckpass для этой цели, в принципе и сейчас остались рудименты этого,
но в основном используется PAM

Sylvia ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
BIND с нуля на шлюзе
Admin
sendmail и почтовый домен