man Plan9.

А если я из браузера музыку качаю, представляешь какой гемморой её потом перекидывать и менять права

>Программы запускаются под рутом...скажем, мы хотим всего лишь примонтировать образ компакт-диска или собрать пакет
ЕРЕСЬ!

firefox запускается под пользователем firefox, который имеет право записи только в $HOME/.firefox

ЕРЕСЬ! а как сливать/заливать файлО?
короче один из нас точно курил что-то нелегальное!

>firefox запускается под пользователем firefox, который имеет право записи только в $HOME/.firefox и всё
А я хочу сохранить страничку/картинку открытую в FF в каталог ~/foo, что мне делать?

Не нужно. У пользователей линукса украсть нечего, кроме исходников ядра (c) Касперский

Ерунда. За одним компом часто несколько пользователей бывает. Да и взаимосвязь между программами будет уж очень сложной.

пользователь только один

4.2 у меня три пользователя, один для файло, другой для тестирования херни, третий рабочий.

> man Plan9.
Что конкретно там есть такого, что напоминает описанную мной концепцию?

Кто-то сегодня говорил, что в андроиде так.

> А если я из браузера музыку качаю, представляешь какой гемморой её потом перекидывать и менять права
Ну хорошо, есть специальный атрибут, забыл как называется, стоит на /tmp (1777/drwxrwxrwt), такой же должен быть на папке music, так что любая программа может туда добавлять файлы, но не изменять уже имеющиеся и добавленные другой программой. Геморроя быть не должно, это был всего лишь один из примеров возможной реализации. В любом случае, идея такая что пользователь должен иметь возможность делать что угодно без лишних телодвижений, но при этом быть в безопасности от возможных вредоносных действий любых запускаемых программ... (если полный доступ к $HOME будут иметь не все программы, как сейчас, а только те которым нужно, такие как файл-менеджеры)

>4.2 у меня три пользователя, один для файло, другой для тестирования херни, третий рабочий.


А как у тебя все провернуто? Расскажи-ка подробнее.

tl;dr

Ты хочешь изобрести SELinux?

> А я хочу сохранить страничку/картинку открытую в FF в каталог ~/foo, что мне делать?
На директории ~/foo должен быть флаг t

>На директории ~/foo должен быть флаг t
заи....я рисовать флаги!

и что толку, все равно эта красавица готовится отправиться на свалку истории

> Ерунда. За одним компом часто несколько пользователей бывает. Да и взаимосвязь между программами будет уж очень сложной.
Нужно — ибо секурити. Не настолько и сложной чтоб не сделать.
Даже если несколько пользователей бывает — это гораздо реже чем когда пользователь один, но хочет запускать любые левые программы без особого страха и не бояться дырявых браузеров (а даже наш горячо любимый firefox дыряв). Много пользователей тоже можно сделать, но смысл в том, что гораздо важней ограничить возможности программ, а не пользователей (в смысле сидящих за компом, а не в смысле строк из /etc/passwd), в конце концов, такие пользователи всё равно имеют физический доступ к компу и могут сделать init=/bin/sh

> 4.2 у меня три пользователя, один для файло, другой для тестирования херни, третий рабочий.
Я может неясно выразился, но как я понимаю, за твоим компом сидит регулярно только один пользователь — ты. Это у тебя аккаунтов три. Вот я и говорю про автоматизацию, чтоб ОС следила за программами. когда им какие права дать, а не пользователь, который выбирает из какой консоли запускать прогу и может ошибиться, если будет часто переключаться.

> такие пользователи всё равно имеют физический доступ к компу и могут сделать init=/bin/sh

Тем, кто знает о том как это делается, не страшны любые ограничения.

если полный доступ к $HOME будут иметь не все программы, как сейчас, а только те которым нужно, такие как файл-менеджеры

Кто будет решать кому давать доступ, а кому нет? Я вот напишу свою программулину (файл-менеджер), а потом обнаружу, что не могу работать с содержимым хомяка.

пока максимум что может «левая» прога из-под юзера - похерить его хомку и временные данные - это даже хорошо - в целях воспитания элементарной грамотности :)

>А я хочу сохранить страничку/картинку открытую в FF в каталог ~/foo, что мне делать?

Ввести пароль в появившемся окне UAC же

> tl;dr
Это что?

Ты хочешь изобрести SELinux?

Да... Почти, но как-то попроще чтоб было... Всё-таки SElinux тоже не для этого.

>UAC

Union Aerospace Corporation?

>Это что?

Too long; didn't read :}

Не читал. Осуждаю.

Селинукс в том числе для этого. И не надо плодить сущностей. Нужно пилить юзерспейный слой, для генерации правил для Селинукса для нужных приложений, в нужное время, с нужными ограничениями.
А выдумывать для этого целую тонну велосипедов в виде юзеров какждой программе - это нечто, за это поидее надо карать, анально.

А чем селинукс лучше чем KIS?

Понимате какой фокус, файло оно общее зачастую, там музыка, семейное фото в семйках, фильмы и т.п. даже у вендузяток оно лежит на шарах. А тестовый аккаунт нужен только гикам. Как итог автоматизировать то нечего

просто три пользователя 8)

> И не надо плодить сущностей.

Тогда уж это SELinux - лишняя сущность :)

плюсую

>> такие пользователи всё равно имеют физический доступ к компу и могут сделать init=/bin/sh

Тем, кто знает о том как это делается, не страшны любые ограничения.

О чем и говорю. Так что защита от программ нужна, а не разделение прав между пользователями, которое всё равно не работает (хотя я не против чтоб была и мультиюзерность и мультипрограммность, но как тогда сделать чтоб firefox запещенный от пользователя X мог писать только в ~X/.firefox + добавлять файлы в директории типа ~/music и ~/downloads (хотя опять же желательно чтоб сам фокс качал все файлы в одно место а после докачки другая прога раскидывала их по директориям, чтоб злоумышленник через взломанный фокс не мог потереть файлы скачанные (и полность докачанные) самим фоксом))

Кто будет решать кому давать доступ, а кому нет? Я вот напишу свою программулину (файл-менеджер), а потом обнаружу, что не могу работать с содержимым хомяка.

Создатель дистрибутива, но так чтоб пользователь мог всё поменять. Если сам программу пишешь, то должна быть возможность задать ей автоматом нужные права после компиляции (например, занести все исполнимые файлы из ~/projects/filemanagers в список доверенных)

> Понимате какой фокус, файло оно общее зачастую, там музыка, семейное фото в семйках, фильмы и т.п. даже у вендузяток оно лежит на шарах. А тестовый аккаунт нужен только гикам. Как итог автоматизировать то нечего
Да, право на чтение всем прогам (кроме директорий с проном или секретными доками) кроме сомнительных игр скачанных с левых сайтов
Права на изменение всяким сортировщикам фоток типа f-spot, digi-cam, граф-редакторам и файл-менеджерам.
Автоматизировать что-то нужно... Чтоб можно было без труда скачать игрушку с левого сайта и запустить и она заработала, но ничего похерить не могла и даже не могла отослать ничего в интернет, если это не сетевая игра

Тьфу на вас, я убью тот дистр в котором из диалога открытия изображения нельзя будет удалить исошник с порнухой. В гноме это нельзя, кстати.

>Мы ведь хотим, чтоб случайно скачанная с интернета игрушка на питоне просто работала и в неё можно было спокойно играть, даже если автор спрятал где-то в Makefile rm -rf /
Поэтому мы регулярно бэкапимся.
/thread

Plan9

> Тьфу на вас, я убью тот дистр в котором из диалога открытия изображения нельзя будет удалить исошник с порнухой. В гноме это нельзя, кстати.
Как раз должно быть можно — у диалога открытия файлов права файл-менеджера. если он стандартный (ну а если нестандартный — то нельзя, да)

> Поэтому мы регулярно бэкапимся.
А зачем тогда разделение прав вообще, почему бы не работать всегда от рута?
Кстати, идея... А почему бы не сделать чтоб при выборе файла в диалоге открытия, программе автоматически давалось право на его чтение, а при выборе файла в диалоге сохранения — на запись? Так что произвольный документ программа открыть не может, а только тот, который ты ей сам дал на растерзание (и сразу в диалоге открытия галочка «только чтение»)

Хочу я всего лишь чтоб пользователь контролировал программы, а не наоборот

Главная метазадача именно в этом. Компьютер как целое должен делать то и только то что хочет его пользователь. ОС должна быть такой, чтоб вирусы работали только тогда когда пользователь хочет чтоб они работали и никогда больше. (ну скажем, он вирмейкер)

Ты еще забыл про chroot, скорее наверни его в свое эссе.

Во-первых, однопопьзовательская система - не такое уж и частое явление. Во-вторых, при такой организации связь между программами превращается в набор костылей.

Да и реализовать это не трудно, всего лишь надо выставить права.

>Но сейчас компьютеры с линуксом используются в основном в совсем другой ситуации — пользователь только один, который имеет над ней полный контроль.

Программы запускаются под рутом

Пример: firefox запускается под пользователем firefox, который имеет право записи только в $HOME/.firefox и всё

(«глубокомысленные» «выводы» - поскипаны)

Школота - такая школота...

Я знаю, что существуют всякие SElinux и apparmor

А ещё - Tomoyo. Но хрен ты что-то знаешь про «SElinux и apparmor», потому как «где-то что-то слышал» != «знаю»

В общем - даже на первокурсника ты не тянешь :(

>и что толку, все равно эта красавица готовится отправиться на свалку истории

А ограничение маргинальности оси в топике не озвучены. А как концепт - подходит.

Причем здесь школьники и первокурсники? Речь о совсем другом идет же.

>Причем здесь школьники и первокурсники? Речь о совсем другом идет же.

У тебя идиотские выводы из-за изначально неверных предпосылок.

ACL

И что ж в моих выводах неправильно? GNU/Linux по умолчанию изолирует пользоватей друг от друга, а программы могут влиять одна на другую неограниченно. Я предложил сделать директорию вида $HOME/.prog доступной только prog (и не только)

>А зачем тогда разделение прав вообще, почему бы не работать всегда от рута?
Чтобы никто не прочитал /etc/shadow и не сломал твой пароль?

А почему бы не сделать чтоб при выборе файла в диалоге открытия, программе автоматически давалось право на его чтение, а при выборе файла в диалоге сохранения — на запись?

Потому что этих диалогов в современных линуксах — десяток. И ни один из них не системный.
Кстати, покажи мне диалог сохранения файлов в моём любимом mutt и скажи где там система будет давать какие-то права.
А заодно объясни что помешает зловредной софтине юзать нечто типа xdotool и ставить галочки за пользователя.
И вообще, гуй в управлении системой (а тем более безопасностью) далеко не все любят.

>просто три пользователя 8)



Софтины для записи файлов юзаешь через su - files? Не геморно?

chroot

>Вопрос: есть ли ОС или дистрибутивы, сделанные так чтоб ограничивать не пользователя, а конкретные программы?

Есть:

• большинство реализаций J2ME в мобильных телефонах;
• уровни интеграции процессов в UAC в современных Windows;
• same origin policy в веб-браузере, если его рассматривать как платформу для запуска приложений.