dennis_chikin (dennis_chikin) wrote,
dennis_chikin
dennis_chikin

Category:

линуксовое-2, мысли вслух

Вообще, обоснование, что если разрешить пользователю что-то куда-то монтировать, то он будет иметь доступ ко всей системе - оно, мягко говоря, забавное.

su/sudo/suid - ему, конечно же, доступа не дает. А вот монтирование - того, что к системе вообще отношения не имеет - той же флэшки или сетевого ресурса - оно, видите ли, дает.
Точно также, для монтирования устройства надо, на секундочку, иметь доступ к этому устройству, нес па? И пользователь его если имеет, то и без монтирования. Причем именно тот, какой дали. Это во-первых. Во-вторых, при монтировании наследуются права, которые прописаны точке монтирования. В-третьих, на худой конец, имеются механизмы симлинков и nullfs, а саму точку монтирования можно вовсе не показывать. То есть, по любому доступ чрез примонтированный ресурс будет более ограничен, чем то, что вполне доступно тому, кто хочет именно доступа куда ему не надо, а не просто работать в тех рамках, которые дали.

Хотя, да, я понимаю: зачем придумывать что-то еще, в смысле, объяснения, имеющие хоть минимальное отношение к реальности, если и так сойдет...

Ну а для вящей пущести мы сюда прикрутим зачем-то еще ldap, кербероса и nss, и разрешим что-либо делать только через особоублюдочный кастрированный клон kde...
Хотя вот это вот все на раз обходится десятком способов даже не задумываясь, и проблема только в том, что это кому-то надо заходить снаружи каждый раз, или просто проковырять и оставить в навеки распахнутом виде еще одну мегадырень.
Tags: ТакЪ ПобедимЪ !, некромантия
Subscribe

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 5 comments