Re: gnome-apt

["Victor B. Wagner" <vitus@wagner.rinet.ru>]

On Wed, 30 Jan 2002, Viktor Vislobokov wrote:

>       Практически во всех руководствах по
> безопастности, первое что рекомендуют
> сделать - это таковые программы в системе
> найти и: или удалить их нафиг или снять с
> них suid'ный бит.

Увидев такую фразу, я оное руководство выкидываю сразу.
Потому что все виды предоставления привелегий имеют свои
достоинства и недостатки. И если автор панически боится
какого-то одного из них он категорически не прав.

> > Чего тут интуитивно-непонятного?
>
>
>       Ладно, прикинусь полным чайником - а зачем

А ты не прикидывася полным чайником. Полным чайникам не надо
ничего давать выполнять с правами рута.

> мне вбивать какие-то команды (а их еще и искать надо), если мне с
> модулем PAM ничего вбивать не надо, более того,

Модуль PAM надо поставить.

>       Ты утверждаешь, что этот механизм не
> секурный. Я повторюсь - реальные примеры мне

Я утверждаю что этот механизм менее понятный квалифицированному админу.
Ибо про xauth он и так все знает, а аудит кода данного PAM-модуля
ему проводить некогда. То что непонятно, по определению не секьюрно.

> > И этот механизм ничего лишнего не требует не только от пользователя,
> > но и от администратора. В частности, установки непроверенного кода,
> > который в debian stable еще не попал.
>
>
>       А кто говорит про Debian? Я же сказал - в нем

А на адрес посмотри. Мы в списке рассылки debian-russian.

> такого механизма нет. Ни в stable ни где бы то
> еще. В других дистрибутивах он уже
> используется не один год и значит вполне

Ничего не значит. Я пользуюсь этим дистрибутивом и все попытки
за последние три года поиграться с другими ничего кроме рвотого
рефлекса не вызывают. Даже ALT Linux Castle. Потому что там
инсталлятор под чайников заточенный. А это значит что в нештатной
ситуации (ну вот у меня на той же машине Solaris стоял) он не может
сделать ничего, кроме того как испортить мои данные. Потому что
нет в нем ручки.