Re: initrd и привелегии пользователя
Victor Wagner -> debian-russian@lists.debian.org @ Tue, 21 Oct 2008 15:29:42 +0400:
>> >> Там, небось, read-only filesystem...
>>
>> VW> С какого перепуга? На initrd она обычно rw - почему б и не
>> VW> позволить на ram-disk писть-то. Другое дело что по хорошему счету
>> VW> надо разбираться с initramfs-tools - где там в конфигурации
>> VW> накосячено, что оно с такими правами создается.
>>
>> А на кой его создавать с другими правами? Там, напомню, набор
>> пользователей ни разу не тот, что на "боевой" системе, и посему там
>> совершенно ни к чему позволять работать от нерута.
VW> На базе initrd/initramfs делаются сейчас многие и странные
VW> вещи. Поэтому было бы осмысленно делать эту штуку так, чтобы
VW> поведение файловой системы соотвеветствовало ожиданиям админа. Мало
VW> ли каких сервисы, которые должны работать с ограниченными правами
VW> он захочет запускать с initrd. Например, sshd с privelege
VW> separation совсем не лишний прибамбас для загрузочного носителя
VW> оставленного в дисководе хостингового сервера.
И под какого пользователя там делать privilege separation? В юниксах,
сколь я помню, жестко определен ровно один uid - равный нулю.
А то может получиться, что система загружена, процесс уже запущен, а
через несколько минут глядь - а он уже из-под совершенно не того юзера
работает...
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Пришел в гости математик, почитать новую рукопись. Вычитал из нее трех
героев напрочь, и ушел.
Gimli on #arda
Reply to: