LINUX.ORG.RU

MS: Linux является наиболее серьезной угрозой в 2001 году


0

0

Глава MicroSoft, CEO S. Balmer заявил на что по его мнению наиболее серьезными конкурентами MS являются Linux, Unix, Oracle, Sun, AOL. Удивляет лишь отсутствие IBM в списке.

>>> Подробности

★★★★

Проверено:

2 Irsi, извини, я хотел услышать мнение настоящего профессионала. И поклонника Linux, а не тебя.
Господа, есть такие кто можеть дать ПРАВИЛЬНОЕ определение?

anonymous
()

irsi: А подробней можно, чем же так система привелегий в НТ круче чем, в юниксе ?

anonymous
()

2anonymous: почитай книжку, а? на пальца объяснять умаешся, честное слово...:) И все равно если с крупной сеткой не сталкивался, не поймешь нафига это нужно...:) Поверь - неспроста нтя, несмотря на все свои недостатки, занимает на рынке серверов долу _большую_, чем _все_ коммерческие юниксы вместе взятые...:)

Irsi
()

А вот интересно, вы Irsi, когда нибудь слышали про ACL Linux? Думаю, что нет... А реализаций систем привилегий в Линуксе, я насчитал порядка 3-х, которые действительно интересны в этом плане, и которые ни чуть не хуже чем в НТ.

McMCC ★★★
()

2McMCC: Про ACL Linux я именно что слышал... краем уха...:) А система привелигий в юниксах везде одна, хотя надстроек - действительно много... Но пока ни одна из них не стала стандартной... И как сами понимаете это создает определенные проблемы...:(

Irsi
()

2McMCC: <из чистого любобытства> вот эти ACL в линуксе, распостраняются на все объекты? Или только на файлы? Я имею ввиду, память, threads, sockets и т.д.

Ogr
()

Требуется мнение профессионала-юниксоида

Господа, обращаю ваше внимание на заголовок этой мессаги. Есть тут кто? Напишите, что такое есть Линкус!

anonymous
()

Не в порядке наезда, а токмо эрудиции ради:
Каким образом в NT запустить дебагер из под администратора, будучи залогиненным при этом обычным юзером ? Имеется в виду простой метод, типа установки permisson'a, а не с помощью програмки, пускай даже и написанной всего за 5 мин. А еще иногда бывает нужно запустить дебагер из под обычного юзера - как это сделать ? Первый вопрос можно читать так: "Где аналог suid'a, sgid'a в хваленной системе привилегий NT ?". Да, и еще: какую, например, стратегию привилегий, можно реализовать в NT, что в лине ее реализовать не удастся ? Про удобство ACL знаю, но IMHO оно не столь значительное.

timur
()

2Ogr: Речь естественно шла про файлы и директории, так это больше всего всех интерисует... Насчет другого, я вообще не понял смысла вашего вопроса, в Линуксе вообще-то такие вещи давно реализованны, странно что вы этого не знали:((( "User-mode Linux" http://user-mode-linux.sourceforge.net/ к примеру, немного правда не то, но смысл тот же, да мало ли таких фенек можно напридумывать и реализовать, я еще помню, что то было к ядрам 2.0.хх, только вот забыл как оно называлась, из-за ненадобностью, а в 2.4.хх, это будет вообще элементарно...

McMCC ★★★
()

2McMCC: Т.е. я могу создать thread и к нему может подцепится только тот юзер у которого хвататет прав на доступ к этому объекту, а все другие могут идти лесом? Это не тоже самое что user-mode.
2timur: "Каким образом в NT запустить дебагер из под администратора, будучи залогиненным при этом обычным юзером"
Не правильный подход. Вы запускаете дебаггер от себя, а в дебагере даете команду подцепится к процессу/thread. И если у Вас достаточно прав на доступ к этому объекту, то Вы получаете доступ и можете дебагить, если же прав не достаточно, то Вам скажут Access Denied. И не надо костылей вроде suid.

Ogr
()

2Настойчивый anonymous с вопросом, что такое Linux. Это бесплатный Unix-клон, распространяемый в исходниках. Главная прелесть его (для меня) состоит в том, что линукс - это только ядро, на которое можно навешать сверху все, что мне хочется. На десктопе поверх него стоит libc, ld.so, shell, X Window, etc. А на машине класса 386, чья задача - чтение раз в минуту 256 сигналов с АЦП, запись их на хард без всякой файловой системы и передача затребованной пачки по сети, так вот на ней будет 1 прога, которая все это и будет делать, ну еще модуль ядра для чтения АЦП. И все! Ядро, 1 прога, 4 файла девайсов. Гибкость - вот прелесть линукса. Что хочу то и ворочу. Windows vs Linux == Basic vs C++. Винда такая же деревянная по сравнению с линуксом, как васик - по сравнению с сипэпэ. То нельзя, другое нельзя. Плюс какие-то непонятные глюки, какие-то ненужные сложности, какие-то скрытые от меня действия, желание делать за меня то, что я сам могу сделать. Плюс винда считает себя умнее меня, а меня это бесит. Плюс старается делать на моей машине не то, что хочу я, а то, что хочет она. В линуксе все просто и понятно. Он будет делать только то, что я захочу. Если возник какой-то трабл, то можно без помощи микрософта докопаться до причины. Удобный шелл. Никаких самопальных сетевых протоколов. Вся необходимая тех.документация под рукой, не нужно лезть на microsoft.com. Вобщем, линукс - рулез для программера. Винда тоже рулез. Для ламера.
andy.

anonymous
()

То есть в NT таки нет аналогов suid'a ? А как мне реализовать что нибудь вроде passwd с файлом, закрытым на запись для всех, кроме администратора ..... ну вы поняли, что я имею в виду. Насчет дебагера - означает ли это, что в большинстве случаев девелопмент под NT'ями идет с админовскими привилегиями ? Просто я не видел еще ни одного человека, который сидел бы под NT'ями регулярным юзером. NT, конечно, я знаю плохо, догадываюсь, что про моих знакомых скажут то-же самое, но вот прикол: в лине наоборот - все сидят под регулярными юзерами. Что это ? Большая продвинутость линуксоидов или наличие suid'a сказалось ? Буду очень признателен господам Ogr и Irsi, если они объяснят, каким образом они запускают из под рег. юзеров. (если они конечно сидят под ними) программы, требующие администраторских(или другого юзера) привилегий. Тогда и я перестану сидеть под админом :). Хотелось бы еще услышать про стратегию привилегий, реализуемую на NT, и не реализуемую на линуксе.

timur
()

> Т.е. я могу создать thread и к нему может подцепится только
> тот юзер у которого хвататет прав на доступ к этому объекту, а все
> другие могут идти лесом?
(как я понял, идет речь о подцеплении отладчиком) Без ACL патчей естественно нельзя подсоединиться к чужому треду/процессу (рут к чему угодно конечно может). То же самое для всех об[ектов типа семафоров (по-моему), сегментов разделяемой памяти (права явно указываются при их создании IIRC), процессами. А c наложенными ACL патчами - вряд ли что-то измениться для об[ектов не-файловой системы.

hvv
()

> И теперь, господа, вопрос на засыпку - что такое "Linux"
Linux (tm) - зарегистрированная торговая марка. Принадлежит Линусу Торвальдсу. - это верное определение.
Или требуется широкая расшифровка по разным ипостасям?

2 Irsi - см Windows 1.0 И с тех пор всё у них так :)))
Это к приведению того, что был 1-ый Unix.

AffreuxChien
()
Ответ на: комментарий от hvv

...Без ACL патчей естественно нельзя подсоединиться к чужому треду/процессу...

Это хто-ж тебе такого рассказал ? Вся секурити классического *NIX состоит из 2-х байт. Общими для всего являются permissions для Owner User, Owner Group и Others. Дык вот, добавляешь в группу для процесса нужного пользователя -- и вперед.
IMHO, это намного проще чем 5 минут щелкать на виндовых ACL. Хотя и не так гибко.

lb
()
Ответ на: комментарий от timur

...То есть в NT таки нет аналогов suid'a ?

Есть. На уровне xCOM. А так, ну очень анноит, что для прикрутке чего-либо, требующего прав админа, надо вываливаться из под просто-узера ;-(( Я себя никак не могу заставить работать все время под админом ;-))

lb
()
Ответ на: комментарий от lb

> Есть. На уровне xCOM. А так, ну очень анноит, что для прикрутке
> чего-либо, требующего прав админа, надо вываливаться из под просто-
> узера ;-((
Если есть аналог suid'a, то почему приходится вываливаться из-под просто-узера ? Любите вы умничать - xCOM, xCOM.

anonymous
()

2BlackRabit (*) (2001-01-22 17:50:13.0): Чтож, твои слова лишнее потверждение привильности моих выводов :((

anonymous
()

2ALL: Я вот сколько живу в Linux - столько удивляюсь. Сегодня опять удивился. НУ ПОЧЕМУ MD сообщает всем, кому не лень знать, какие у неё xxxxx$ шары??? Вроде же то, что с "$" на конце - оно невидимое. Только реализовано это через конкретную ЖОПУ. (Как, впрочем, и всё, чего M$ когда-либо выпускал.) "Не видит" клиентская машина!!! Вы про C2 чего-то там говорили??? Да какой, на Х.Й, С2, ежели (хотя бы) любой юзверь в сети может получить полный список расшаренных ресурсов???

R00T
()

Ещё 2ALL: А ещё я вот чему удивляюсь: почему FTP-сервер на NT ТАК глючно работает??? Настолько глючно, что не только Linux/MidnightCommander, но даже FAR из-под другой NT (!!!) не могут на этот "ftp"-шник пробраться??? Причём, это было ВСЕГДА и ВСЕГДА так будет. Аминь.

P. S. А файлышек из этого говна я, всё-таки, достал. Консольным ftp-клиентом из-под Linux'a.

R00T
()

2Irsi: Спрашивали об аналоге suid'a :). Ogr написал, что suid не нужен. lb написал, что suid там есть, но все равно надо вываливаться. Irsi вообще перепутал su с suid'ом (неужели они так похожи ? :). И только задРУТ не стесняется демонстрировать всем кривизну своих рук.
2ROOT: Ты хочешь сказать, что на FTP сервера NT нельзя залезть из FAR'a ? :)))))))))))))))))

anonymous
()

Кстати о кривых руках :) - че-то не получается у меня в NT su от Irsi. NT4.0+SP6. Захожу в Explorer и кликаю SHIFT+Right_Click по какому-нибудь exe - вылезает обычное контекстное меню.

anonymous
()
Ответ на: комментарий от Irsi

...Analog su? Shift+R_Click, Run As...

Нету такого. Если это не с пьяну ляпнул, поподробнее, pls.

lb
()
Ответ на: комментарий от R00T

2ROOT: Ходит всем, вся и отовсюду.
Вот то шо он тормоз ;-)) Дык это да.

lb
()

Насколько я понял была задача запустить некую программу с правами другого юзверя. Через гуевый интерфейс это делается так как я описал, как это реализованно на уровне API я честно говоря не разбирался. Возможно я ввел в заблуждение, честно говоря не помню как это делается в NT4 (хотя утилитку из Resource Kit для этих целей помню...;). Так как я описал это делается в w2k. Хотя возможно и в четверке... там очень многое зависит от установленной версии эксплорера, сервиспака, наличия присутствия отсутствия ресурс кита... Конструктор еще тот короче...:)
Например консоль в нте можно переключить на кои-8. В w2k это получается сразу, в четверке должен стаят IE4+ с Language Pack, и только тогда chcp 20866 работает, без этого - ругается на неизвестную кодовую страницу... А чтоб например сделать нейм комплишен по <Tab> надо всего одно значение в реджестри поправить... или воспользовать TweakUI, ConfigNT и другими подобными утилитками...:)
Но впрочем все эти модификации проще чем подружить уних, русский и X-Serv, если X-Serv отличается от XFree...;)

Irsi
()

su - это прекрасно, но если человека научить запускать отладчик через эту процедуру, то он будет знать пароль админа - а значит запустит и user manager. Вопрос в том, что-бы давать возможность запускать любому юзеру какую-то одну програмку с админовскими привелегиями (или с любыми другими). Естественно нужно быть уверенным в этой програмке, также, как, например, мы уверены в passwd. Похоже этого все таки нету - ну и ладно, по крайней мере есть su - надеюсь это поможет lb больше не вываливаться из под обычного узера.

timur
()

Linux - всего лишь ядро

2 AffreuxChien / 2 любезный anonymous
Спасибо господа за правильный ответ. Таким образом получается, то Linux - всего лишь ядро, конструктор. Что хочешь то и делаешь. А Windows NT - операционная система. Полноценная. Чувствуете разницу?
Мое мнение - это совершенно неправильно сравнивать Windows NT и Линукс, это разного класса вещи. Вывод из сказанного - Linux более мощный в плане выбора инструментария для решения своих задач.
Я уверен, что решить определенную задачу можно и с помощью другого конструктора, например FreeBSD. Те же самые пакеты. И работать будет нормально.
(Только не надо кричать, что нечего тут говорить о Фри, я просто размышляю).
К линукс-сообществу, которое ненавидит лютой ненавистью "подоконников" :
Мне просто неприятно смотреть, что вы, профессионалы своего дела, начинаете спорить друг с другом, оскорблять друг-друга. "Вы еще подеритесь, горячие финские парни :))" Я конечно понимаю, иногда дурка играет, но все же - можно же свою энергию направить на более полезные задачи. Что бы не надо было например все время видеть в форуме ОДНИ И ТЕ ЖЕ вопросы новичков насчет русификации. Ведь проблемы есть ВЕЗДЕ - идеальных вещей не бывает, но ведь можно сделать хотябы немного, чтобы приблизится к этому. В линуксе тоже полно проблем.
Вот возьмите и сделайте вместе стандарт - ru.linux Чтобы было так, как в Win2K например - ставишь локаль (английская например), можно поставить ЯЗЫК, сделать его ПОУМОЛЧАНИЮ и НИКАКИХ проблем не будет с шрифтами и т.д. Ребята с ненавистного вам MS просто РАБОТАЮТ.
Кстати. Страшно будет если MS что то предпримет в финансовой сфере против Линукса. Ведь посмотрите - рынок консолей - x-box рулить будет. И не только потому что он качественный или игр много - нет, цена будет дешевле.

К тем, кто работает на Windows и лютой ненавистью ненавидит linux от того что он сложнее. он не сложен, софтварь настраивается намного проще чем Windows - половина фич, которые есть в NT можно сделать только сделав изменения в реестре, только вот косяк = сделаешь чего не так и привет, blue screen of death. Что такое восстанавливать, сами знаете.
Самое обидное - его можно ненавидеть, опускать, кричать. Только факт остается фактом - он есть. И в большинстве серверных задач он работает лучше чем NT 4.0. Примеров масса. Также масса примеров нормальной работы NT.
Вроде пока все.
Это были просто размышления. :)

anonymous
()

2 anonymous
Нельзя сравнивать Linux и Windows NT, Как и Linux можно сравнивать с ядром BSD :)
Или уж Linux с Windows (и то и другое - без указания версий и назначения), но это бредово...

Есть такое понятие - дистрибутивы на основе Linux, где софт подогнан, взаимосвязан и т.п. В простонародье - Linux-дистрибутивы.

Т.е. Linux - это ядро, а скажем, Linux-MandrakeRE - операционная система. Полноценная. Чувствуете разницу?

> можно поставить ЯЗЫК, сделать его ПОУМОЛЧАНИЮ и НИКАКИХ проблем не будет

Вы много видели жалоб на эту тему применительно к:
Linux Mandrake Russian Edition?
BlackCat Linux?
ASPLinux?
НИКАКИХ проблем не будет с шрифтами и т.д.
Ребята просто РАБОТАЮТ.

Замечу, что из популярных desktop-OS на сегодняшний день ТОЛЬКО Linux в состоянии обеспечить меня полноценной поддержкой 2-х языков для 2-х пользователей на одной машине, но это так, о птичках....

> x-box рулить будет
Бедные Sony, Sega и кто-там ещё...

Рассуждения же здесь носят общий характер, заведомо далёкий от реальных задач. Сводятся к SUXX и RULEZ, без попыток указания на проблемы и поиск решения оных.
Начинается обсуждение какой-нибудь проблемы - появляется какой-нибудь кадр с криком типа "А на серваке/десктопе FreeBSD|OpenBSD|Slackware|WinNT рулезь!!!!, а RedHat|Mandrake|Slackware|OpenBSD|FreeBSD - SUXX"
На вопрос "Сервере ЧЕГО" - нет ответа... И так всегда.
Есть ещё один способ аргументации - "зато у нас .... !!!"

Есть большая беда - когда новичок берёт "большой конструктор" типа Slackware, медленно очумевает, а потом наезжает на Linux вообще.

AffreuxChien
()

2 AffreuxChien -

"Замечу, что из популярных desktop-OS на сегодняшний день ТОЛЬКО Linux в состоянии обеспечить меня полноценной поддержкой 2-х языков для 2-х пользователей на одной машине, но это так, о птичках.... "

В том то и дело, что Линукс обладает всеми возможностями для того, что бы сделать из него поистине САМУЮ удобную и универсальную ОС для всех задач. Только вот что обидно - ведь MS имеет $$$ и может сделать на рынке что либо против. Решения я пока не вижу.


"Сводятся к SUXX и RULEZ, без попыток указания на проблемы и поиск решения оных. "
Не конструктивные обсуждения - только вредят сообществу.

"Есть большая беда - когда новичок берёт "большой конструктор" типа Slackware, медленно очумевает, а потом наезжает на Linux вообще."

Почитайте инструкции Microsoft о том, как например развернуть сеть Windows NT. Все подробно, по пунктам расписано, Check list. Иногда даже думаешь, читая их - я что не знаю как вызвать панель управления? Но в том то и дело, что так во всех доках, по пунктам расписано все. Да, в MAN ах есть все, только не такие они. Не для начинающих. А MS изначально планируют все продукты так, чтобы ими могли пользоваться все. Потому что это рынок.

Спасибо.


anonymous
()

2timur: <su, sudo и другие> Я вот все сидел и пытался придумать программу которую нужно запускать из-под админа. Не придумал. Т.е. я понимаю, что нужен отладчик, но какую прорамму этот отладчик должен отлаживать. Единственное что приходит на ум это либо сервис, либо драйвер. В том и другом случае достаточно иметь права на запись в соответсвуюшие объекты. Так что у меня вопрос: за чем?

Ogr
()

Браво, AffreuxChien, хороший пост. Наблюдать за вашим спором интересно. Подобные ощущения я получал, помнится, в детстве, наблюдая дерущихся сверчков в банке. 2Irsi, 2Ogr: я не пойму, господа, ну нравится вам NT/W2K, ну а что вы тут забыли? Похоже на комплекс неполноценности. Другое дело, если бы вы хотябы разбирались в unix, так нет же, человек не понимает разницы между su и suid и пишет о преимуществах системы привилегий в NT перед unix. Про Orgа я вообще молчу, о linux он, похоже только читал в "одном компьютерном журнале". Вроде того анонимуса "того что я тут прочитал достаточно чтобы понять какое линукс гавно ;)". Вы хоть бы сравнили на своем опыте а не понаслышке. 2all Какой смысл спорить с людьми, для которых важна не столько суть аргументов, сколько защитить свою позицию во что бы то ни стало? 2root: такие люди как ты были всегда. они называются фанатиками. не перестаешь удивляться какие причудливые формы приобретает сублимация. ;) даже как-то неловко, что у некоторых новичков может сформироваться ассоциация между програмным продуктом, который я тоже использую для решения своих задач и такими идиётами как ты ;)

velinor
()
Ответ на: комментарий от timur

timur:- надеюсь это поможет lb больше не вываливаться из под обычного узера.

Ды я вообще про винду говорил... ;-)))

lb
()
Ответ на: комментарий от velinor

Не, такие люди как Ogr, Irsi и т.д. _очень_ тут нужны. Помимо флэйма они кричат "я могу в винде вот-так", на что им отвечают, что Linux это можно "вот эдак". И об этом узнают все читающие.

Да и плюс ко всему -- Linux не накрывает всех нужд в компьютерной индустрии. Так что во многих вопрросах приходится использовать другие решения, в т.ч. и Windows. Дык пусть рассказывают ;-)))) Они вот нас тут ссылочками с microsoft.com полезными подкармливают ;-)))

lb
()

lb: Да я вообще тоже про винду. Про su в UNIX я еще 5 лет назад узнал :).

timur
()

Ogr: Ну например айпишник поменять, мало ли для чего могут понадобиться админские привилегии ? Про отладчик - посмотреть, как ведет себя программа под каким нибудь специфичным юзером или еще что нибудь в этом роде. Вы предвзято думаете :) - легко придумать пример, где-бы был нужен suid. Конечно, в свете наличия su без suid'a тоже можно обойтись, но с ним удобнее. Еще раз - как мне реализовать что нибудь вроде централизованной базы паролей с возможностью модификации в ней юзером только своего пароля ? Прикажете для 5-ти паролей СУБД юзать ? С suid'ом это делается элементарно - просто копируется схема с passwd. Кстати, в ответ - зачем Вам нужен ACL ? Ну придумайте мне ситуацию, где-бы не сработала система привилегий UNIX'a ? Если это не Вы писали про ACL, то прошу прощения.

timur
()

2timur: IP менять должен только Админ :) Тем более, что в юниксе не зная рутовского пароля сделать kill -HUP <inetd pid> не получится :) ifconfig и в НТ должен прокатить. Хотя не вру, можно kill тоже в sudo загнать, но смысл?!
"как ведет себя программа под каким нибудь специфичным юзером или еще что нибудь в этом роде."
Attach proccess в отладчике Вас спасет.
"Еще раз - как мне реализовать что нибудь вроде централизованной базы паролей с возможностью модификации в ней юзером только своего пароля?"
IPSec, там все написано. База данных будет использовать, скажем, НТ authentication механизм, а юзер будет менять пароль только в одном месте, все остальное само это поймет.
"Ну придумайте мне ситуацию, где-бы не сработала система привилегий UNIX'a?"
Не я, но отвечу. Есть директория, Есть люди которые могут писать/читать (бугалтерия), есть люди которые могут только читать (касса), а есть люди которые просто ни чего не видят. Не говоря о такой приятной мелочи как, что в последнюю группу входит и админ. А если админ вдруг решил воспользоватся своим правом, сделать take ownership, то владелец этих файлов, об этом узнал и админ потерял бы работу.

Ogr
()

Операционная система, которой пользуются, исключая не к ночи
помянутых, все здесь, зовется GNU - Gnu's Not Unix, сиречь Не Юникс
от Гну (антилопы). GNU имеет собственный kernel - HURD, который в
силу сложности реализации некоторых идей, развивается очень медленно.
Linux - другой, наиболее распространенный kernel, заставляющая тикать
компьютеры с ОС ГНУ. Поэтому обвинять Linux во всех грехах нечего,
ибо на таком программном уровне ни один user не работает. К тому же,
из запускаемых на x86 kernel'ов Linux 2.4 - лучший, лучше BSD, HURD и
тем более Solaris. (latency, скорость TCP/IP, возможность ALSA вместо OSS/Free et caetera ) Windows NT тоже содержит kernel, только
исходных текстов его не видел, не компилил, потому говорить о нём не
буду.

Не завидую тем, у кого мелкомягкие продукты русифицированы. Узнав,
что Explorer переводится Проводник, Browser - обозреватель,
Favorites - Избранное, а Dial-up Networking - Удалённый доступ к сети
(если он удалённый - то почему не в Корзине), можно начать думать так
же чисто, как Майкрософт говорить ейный русский язык.

Читая MAN можно узнать много полезного, а что можно узнать в
документации Windows, такой красивой, разукрашенной, отлично
належенной - ? Как открыть Control Panel двойным щелчком на My
Computer? Или как запустить Calculator нажатием на Start? Пожалуйста!
Они и расскажут, и сслылочку приложат на этот самый Calculator, что
пользователю лучшей в мире операционной системы от корпорации
Майкрософт не пришлось напрягать руку и зрение, разыскивая на рабочем
столе кнопку Start... Так вот - Зачем мне это нужно? Зачем каталог
C:\WINNT\Help с подобного рода сведениями занимает 22 Mb? Глупый
вопрос: почему ни в меню Start, ни в Control Panel нет Редактора
Реестра. Может быть, Microsoft нас всех считает... как бы сказать...
не Администраторами?

Сюрприз для мелкомягких почитателей - это сообщение набрано в IE5 16-bit из-под WINE. Microsoft Ruleth.

shankara
()

ААА, и здесь Irsi воду мутит :-) Mic

anonymous
()

Хехе - IPSec тут ни при чем - я имею в виду локальную базу, на компе, скажем без сети. Или Вы вообще не воспринимаете NT, как многопользовательскую среду ? :) С дебагером понятно - можно и su в конце концов использовать, я привел его просто для примера. Вот про последнее не понял - прежде чем говорить об этом, не могли бы Вы обрисовать эту ситуацию более полно ? Какие у этого админа функции ? Кто настраивал машину так, что админ не может незаметно для юзера поменять привилегии у файла, почитать и поменять обртно ? Неужели этот же админ ? И наконец главное - какие привилегии у этого админа ? Просто я с трудом представляю себе админа, ставящего себе такие restrictions. Скажем так - Вы админ, сможете ли Вы реализовать эту ситуацию, при которой будучи в группе admins, Вы не могли бы обойти ограничения, которые сами же на себя и поставили ? :)

timur
()

2 shankara:

Браво, отличная речь. Поддерживаю на 100%

anonymous
()

Даже если Ты такой умный администратор, что можешь запретить
доступ себе в этот каталог, а пользователи такие глупые, что способны
заметить взятие и снятие привилегий, то предлагаю самый дурацкий путь.

Запускаешь Linux в VMWare под Windows 2000, монтируешь partition
с этой директорией и читаешь все файлы. И никто ничего никогда не
узнает...

Пример вот для чего. Если существует хотя бы такой быстрый способ
узнать важную информацию, то СИСТЕМА БЕЗОПАСНОСТИ НИКУДА НЕ
ГОДИТСЯ. Потому что акционеров не утешишь потом, показывая в
оправдание длинный список возможностей NTFS. Нужно использовать
шифрование.

shankara
()
Ответ на: комментарий от shankara

Это правильно. Только вот беда - с под Windows то же можно все что есть на Linux - разделе под ext2fs скопировать.
Вот шифрование в NT 4.0 я что-то не слышал об этом ничего. Под win2K есть такое дело, работает.
И под Windows кстати можно использовать Pretty Good Privacy.
А что можно посоветовать пользователю под Linux чтобы защитить свои данные?

anonymous
()

2timur: "IPSec тут ни при чем - я имею в виду локальную базу, на компе, скажем без сети. Или Вы вообще не воспринимаете NT, как многопользовательскую среду ?"
Представляю, так вот любая программа должна использовать authentication механизм ОС, а не придумывать свой. Т.е. есть юзер у него есть пароль, но этот пароль проверяет не База Данных, а сама ОС и если ОС сказала нет, то и база данных тоже скажет юзеру, т.е. не надо городить огород.
"Кто настраивал машину так, что админ не может незаметно для юзера поменять привилегии у файла, почитать и поменять обртно ? Неужели этот же админ ?"
Да именно так. Нет такого права как set ownership, есть только take ownership. По этому админ может взять файл себе, но вот отдать его бывшему владельцу уже не сможет, а мы еще к шифрованию не перешли :)
"Вы не могли бы обойти ограничения, которые сами же на себя и поставили"
Это не мои ограничения, это ограничания ОС, ACL. И с ними действительно ни чего не сделать.
2shankara: RTFM ACL, NT Security Model
"Запускаешь Linux в VMWare под Windows 2000, монтируешь partition
с этой директорией и читаешь все файлы. И никто ничего никогда не
узнает..."
Во-первых, такой админ вылетит с работы сразу когда выяснится, что серврер занимается не понятно чем.
Во-вторых, физически ен защищенный компютер не защищен вообще
В-третьих, юзер может легким движеним мыши (а не читая кучу документации) зашивровать всю директорию, а значит даже такой метод потребует у админа как мимнимум лет 50 чтоб прочитать файл.

Ogr
()

Я лишь сказал, что даже если существует хотя бы такая возможность
прочитать restricted file, - это плохо. Кому нужно - тот
выкрутится.
Классический способ - сделать Backup и читать уже с него...
Как узнают о том, что сервер занимается не понятно чем? Кто-то
включит Event Logging и Auditing и потом будет читать эти логи?
Может это будет главный Администратор? Тогда проблема адресуется
на другое лицо. Может Директор? Тогда зачем ему вообще нужен
Администратор, когда он сам - HACKER?
Если Ты говоришь о встроенном шифровании (EFS), разве Администратор
не может экспортировать сертификат пользователя и расшифровать файл
в том же Linux'е?
PGP - другое дело.

shankara
()

To Anonimous

Все правильно. ext2fs прекрасно читается из-под Windows (NT,
особенно). Можно ставить reiserfs - раз алгоритмы сложнее,
ReiserExplore2FS напишут не скоро; кроме того, есть GnuPG - PGP
для ГНУ; и наконец, Loopback Encrypted Filesystem.

shankara
()

> А что можно посоветовать пользователю под Linux чтобы защитить свои данные?

crypto-loop. Т.е. loop-устройство (считай, файл на ФС, со своей ФС, которая может содержать файл, являющийся...) :)

В общем: Стойко (не опровергнуто), но в отличие от w2k - забыл пароль==труба. Никакого recovery конструкцией не предусмотрено.

Ну и PGP и GPG для отдельностоящих|почты и т.п...

2 Ogr
Не помню, в resource kit chown есть или нет? Честно, не помню.
Если есть - то с работы вылетит администратор-идиот, поумнее - уйдёт сам.

anonymous
()

Ну про криптование в унихе Вам уже объяснили - средств много и едва ли меньше, чем в MS.
К сожалению нет под рукой NT с NTFS, поэтому поиграться с take ownership не могу, но думается, отсутствие set ownership вряд ли можно считать достоинством, по крайней мере это не относится к ACL, и такое же policy можно ввести и в унихе. Делов то - модифицировать все sys_*chown. Правда придется конечно придумывать еще и какой нибудь геморный take ownership :(. Ну да и в NT он тоже не очень удобен. Получается, что в NT смена владельцев файла происходит только по двум сценариям: юзер создает файл или юзер получает право на take ownership, реализует это право и тут же теряет его по желанию админа. Не слишком ли много гемора ради такой не очень реальной ситуации (имеется в виду Ваш пример) ? Если уж не доверяешь админу, то лучше закриптовать.
suid'a в NT нет, и по Вашим словам он не нужен.
Ну вот вроде и все.
Спасибо.

timur
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.