(перетряс старенькое, кое что придумалось)
On Thu, 20 Aug 2009 02:01:52 +0300
Peter Pentchev <roam@ringlet.net> wrote:
> > >> вопрос: как по debian way красиво разграничить этим
> > >> пользователям доступ чтобы они друг-другу скриптами странички не
> > >> портили? (да саму систему от этого тоже бы желательно защитить,
> > >> если это возможно, конечно)
> > >
> > > Со скриптами IMHO, никак. Кто помешает скрипту убить _свой_
> > > процесс или удалить _свой_ файл?
> >
> > Действительно, согласен, будем заводить юзеров
>
> Юзеров можно завести заведомо и без описания их всех в /etc/passwd.
> Одно возможное решение:
> - PostgreSQL база данных
> - libnss-pgsql2 чтоб "getent passwd" / getpwnam() и т.д. работали
Вот эта зараза у меня почему-то деадлочится на логине новых юзеров
систему, когда ставлю pgsql впереди compat вот таким макаром:
$ cat /etc/nsswitch.conf
#passwd: compat
#group: compat
shadow: compat
#passwd: compat pgsql
#group: compat pgsql
passwd: pgsql compat
group: pgsql compat
Плюс, обнаружилась бага с возможностью задосить хост локальным юзером:
пароль в /etc/nss-pgsql.conf доступен ведь всем юзерам.
> - libpam-pgsql чтоб юзеры могут пользовать FTP и SSH
Тоже небезопасно, все логины и хэши злоумышленник сможет украсть,
получив рута на любой обслуживаемой этим модулем машине (писал уже я об
этом, вроде?) Не надо этим пользоваться.
[....]
>
> Отладка libnss-pgsql2 может быть несколько досадной - nscd глючил
> изрядно и в etch, и в ранных периодов testing-что-попозже-стал-lenny,
> а без nscd база сорвется за минуту (while true { getent passwd }).
> Но однажды отладил, потом проблем нету.
Да, вот он какой-то странный. База доступна, а Could not connect to
base иногда выдаёт не понятно по какой причине. И как его дебажить тоже
не понятно.
Attachment:
signature.asc
Description: PGP signature