(перетряс старенькое, кое что придумалось) On Thu, 20 Aug 2009 02:01:52 +0300 Peter Pentchev <roam@ringlet.net> wrote: > > >> вопрос: как по debian way красиво разграничить этим > > >> пользователям доступ чтобы они друг-другу скриптами странички не > > >> портили? (да саму систему от этого тоже бы желательно защитить, > > >> если это возможно, конечно) > > > > > > Со скриптами IMHO, никак. Кто помешает скрипту убить _свой_ > > > процесс или удалить _свой_ файл? > > > > Действительно, согласен, будем заводить юзеров > > Юзеров можно завести заведомо и без описания их всех в /etc/passwd. > Одно возможное решение: > - PostgreSQL база данных > - libnss-pgsql2 чтоб "getent passwd" / getpwnam() и т.д. работали Вот эта зараза у меня почему-то деадлочится на логине новых юзеров систему, когда ставлю pgsql впереди compat вот таким макаром: $ cat /etc/nsswitch.conf #passwd: compat #group: compat shadow: compat #passwd: compat pgsql #group: compat pgsql passwd: pgsql compat group: pgsql compat Плюс, обнаружилась бага с возможностью задосить хост локальным юзером: пароль в /etc/nss-pgsql.conf доступен ведь всем юзерам. > - libpam-pgsql чтоб юзеры могут пользовать FTP и SSH Тоже небезопасно, все логины и хэши злоумышленник сможет украсть, получив рута на любой обслуживаемой этим модулем машине (писал уже я об этом, вроде?) Не надо этим пользоваться. [....] > > Отладка libnss-pgsql2 может быть несколько досадной - nscd глючил > изрядно и в etch, и в ранных периодов testing-что-попозже-стал-lenny, > а без nscd база сорвется за минуту (while true { getent passwd }). > Но однажды отладил, потом проблем нету. Да, вот он какой-то странный. База доступна, а Could not connect to base иногда выдаёт не понятно по какой причине. И как его дебажить тоже не понятно.
Attachment:
signature.asc
Description: PGP signature