Linux, Windows, Mac OS X - IX

Keepun · №826

X Strange пишет

Такая программа уже есть --- она называется runas.

Он пароль аргументом не принимает. Нужно самому вводить.

X Strange пишет

Я же хочу другое: если программа имеет такой-то полный путь к исполняемому файлу, то запускать её от другого юзера.

ну запускай
решения выше

Добавлено 04-02-2013 01:34:53
Так чем правка конфига отличается от правки скрипта?
Отредактируй под свои задачи и будет круче sudo.

Отредактировано Keepun (04-02-2013 01:34:53)

X Strange · №827

Keepun пишет

Так чем правка конфига отличается от правки скрипта?

Тем, что в конфиге sudo не указывается ни один пароль. Там указывается только какую программу от какого юзера запускать.

Keepun · №828

X Strange пишет

Тем, что в конфиге sudo не указывается ни один пароль. Там указывается только какую программу от какого юзера запускать.

sudo - демон.
Но даже ему нужен пароль для запуска от другого юзера. Разница в том, что в скрипт ты можешь этот пасс запихнуть.

В моем "sudo" пасс в конфинге хранится на зашифрованном разделе.

X Strange · №829

Keepun пишет

sudo - демон.

Нет.

Добавлено 04-02-2013 01:44:01

Keepun пишет

Но даже ему нужен пароль для запуска от другого юзера.

Нет. Если правильно настроить.

Отредактировано X Strange (04-02-2013 01:44:01)

ladserg · №830

Keepun пишет

X Strange пишет
Тем, что в конфиге sudo не указывается ни один пароль. Там указывается только какую программу от какого юзера запускать.
sudo - демон.
Но даже ему нужен пароль для запуска от другого юзера. Разница в том, что в скрипт ты можешь этот пасс запихнуть.
В моем "sudo" пасс в конфинге хранится на зашифрованном разделе.

sudo - не демон, и даже не служба. И надобности вводить пароль там нет. Можно дать возможность запуска программы без ввода пароля.

X Strange · №831

Keepun пишет

В моем "sudo" пасс в конфинге хранится на зашифрованном разделе.

А толку? Всё равно в момент использования этот раздел должен быть подмонтирован.

Добавлено 04-02-2013 01:46:30

ladserg пишет

sudo - не демон, и даже не служба. И надобности вводить пароль там нет. Можно дать возможность запуска программы без ввода пароля.

Кстати, sudowin для windows --- таки демон. Точнее служба. Иначе никак, ибо бита suid под windows нет

Отредактировано X Strange (04-02-2013 01:46:30)

Keepun · №832

Ну, да... нет читерского SUID в Винде и хорошо, а то бы его на все вешали.
А вот доступ в пользовательское окружение закрытое паролем, но проигнорированное root, больше на дырку похоже... в прочем в Винде тоже какой-то фокус есть.

X Strange пишет

А толку? Всё равно в момент использования этот раздел должен быть подмонтирован.

Ну, да. Профиль и конфиг с паролем на зашифрованном разделе находится.
Я ввожу только пасс от TrueCrypt.

Кстати, есть "runas /SAVECRED", который решит вашу задачу, но я его не юзал.

P.S.
Тема скатилась в "Хочу как в Лине!".

krigstask · №833

Keepun пишет

А вот доступ в пользовательское окружение закрытое паролем, но проигнорированное root

Не понял. Это о чём? О том, что root ко всем файлам на системе имеет доступ?

littleleshy · №834

Давно меня здесь не было…

okkamas_knife пишет

некоторы "умники" ежедневно ставят и удаляют десятки программ … прежде чем софтина будет допущена до рабочей машины она у меня проходит проверку на виртуалке … то что я поставил на рабочую оно работает и удалять это незачем

Ну во-первых, многие программы при обновлении заново переписывают свою папку в пуске.
Во-вторых, иногда одним программам на замену приходят другие (renamed, discontinued, ну или просто найдена программа, справляющаяся с задачами лучше).

Про UAC было написано много, но не то.
Что имеем в XP (и после XP с откл. UAC):
сидим под админом — ВСЁ, что запускаем, запускается от админа
сидим под юзером — для запуска от админа нужно зажимать Shift, выбирать запуск от имени…
Что имеем после XP (с вкл. UAC):
сидим под админом — всё, что запускаем, запускается в юзерском контексте (как оно и должно быть, вообще-то)
сидим под админом — для запуска от админа программы, требующей повышенных прав, как обычно запускаем файл и говорим "Да".
сидим под юзером — для запуска от админа программы, требующей повышенных прав, как обычно запускаем файл, винда сама находит админов, нужно только выбрать и ввести пароль
в любой учётке — для запуска от админа программы, НЕ требующей повышенных прав, выбираем в контекстном меню "Запуск от имени администратора…"

Даже если кому-то кажется сомнительным влияние UAC на безопасность, то UAC хотя бы прибавляет удобства.
И если я скачал Portable плеер, а мне UAC говорит, что ему нужны права админа, то не нужен такой плеер (для примера).

Отредактировано littleleshy (04-02-2013 09:34:22)

littleleshy · №835

okkamas_knife
Я говорю не про эксперименты, а про случаи:
- программа заново создала папку при обновлении/установке новой версии
- программа сменила название
- программа перестала поддерживаться
- найдена программа лучше
Да и потом, я ни разу не встречал программу, при установке убивающую систему.

Полезность UAC заключается в сокращении действий при надобности запуска с наивысшими привилегиями програмы юзером и отсутствии по умолчанию у админа полных прав (как, кстати, и сделано в Linux).

KooL · №836

Дайте форуму отдохнуть(

SendSpam · №837

Обязывает ли периодическая необходимость в работе со службами/демонами и системными настройками в запуске всего юзерспейса с наивысшими правами? Оказывается да. О дивный новый плоский мир.

ladserg · №838

SendSpam пишет

Обязывает ли периодическая необходимость в работе со службами/демонами и системными настройками в запуске всего юзерспейса с наивысшими правами? Оказывается да. О дивный новый плоский мир.

Кого обязывает?

SendSpam · №839

>софт написанный для работы с админскими правами должен использоваться админами,если софт для юзера требует админских прав то это плохой софт и использовать его нельзя,даже админу если он конечно нормальный админ и в состоянии понять что такой софт может быть полон глюками изза некомпетентности программеров.
а все эти UAC и прочие sudo отличная иллюстрация к поговорке что если чтото нельзя но очень хочется то можно.

К сему сказано было. Вроде бы логично зачем служба/демон требует прав суперпользователя для того же запуска/остановки/перезапуска/удаления/добавления/смены ранлевела и т.д. И почему im клиенту с плеером это ненужно. Избавляемся от "UAC и прочие sudo" (сюда же можно su с runas), нам необходимо весь юзерспейс запускать с наивысшими правами.

ladserg · №840

Если честно, то и под линуксом и виндой не требуется временного админского доступа, покрайней мере мне не требовалось. Если надо было что то под админом запустить, то runas, sudo, запуск от другого пользователя...

П.С. Для работы с некоторым софтом всё же порой приходится давать админские права, так например для софта считывающие данные с приборов считывающих кардиограмму, нейрограму, спирограмму, и т.д. Так же ПО для работы с аппаратом компьютерной томограммы или с аппаратом магнитно-резонансной диагностики (это очень дорогие аппараты, каждый стоимостью до нескольких лямов баксов) тоже работает только из под админа, и принципиально не запускается если админских прав нет. В таких случаях приходится и персонал обучать да и самому следить внимательно, т.к. время простоя таких компов, как правило, гораздо дороже обходится, чем смена всего обслуживающего персонала.

SendSpam · №841

okkamas_knife пишет

а поясни мне какой смысл сидеть под юзером если пользуешься админскими правами?

А сможешь мне пояснить какой смысл запускать все с админскими правами? Например то, чему они не нужны. Это как наделять дворников правами полицейских. Лишь увеличиваем шанс компрометации всей системы из-за уязвимости любого элемента пользовательского окружения или ошибки администратора.

okkamas_knife пишет

и для кого созданы консоли в линухе и быстрая смена юзера в винде?

Для тех кому не жалко убивать время на полный логин/релогин для рестарта отдельной службы или правки конфига? Или запуска софта не хотящего никак иначе, но очень нужного. О чем ladserg выше писал.
Удаленный рут/админ это вообще моветон. Без серьезной причины.

okkamas_knife пишет

а временно давать юзеру админские права это идиотизм и угроза безопасности.

А не временно давать админские права (практически) всему идиотизм и угроза безопасности? Особенно для выполнения одной операции. Все эти sudo runas'ы как раз админский инструментарий, позволяющий избежать попутной массовой эскалации привилегий. Юзеру, т.е. человеку для задач которого не нужны права ковырять систему, они не выдаются. По той же причине по которой не выдаются софту потребности не имеющего. Минимизация риска.

Keepun · №842

krigstask пишет

О том, что root ко всем файлам на системе имеет доступ?

А какая тогда реакция в случае зашифрованного /home?

okkamas_knife пишет

если я ставлю какуюто новую софтину на рабочую систему то я дожен быть уверен что она не напортачит...
соответственно полезность UAC и прочих подобных приблуд стремится к нулю.

вообще-то "UAC и прочие подобные приблуды" от этого защищают гениев и дураков.

ladserg · №843

Keepun пишет

krigstask пишет
О том, что root ко всем файлам на системе имеет доступ?
А какая тогда реакция в случае зашифрованного /home?

Кстати, доступ root'а к чужим файлам легко запрещается в ядре, можно настроить ядро так, что root даже владельца сменить не сможет, не говоря уже о чтении чужих файлов.

А ограничение файлового доступа у винды, кстати - это всего лишь служба, которую тоже лекго отключить

Отредактировано ladserg (04-02-2013 15:38:55)

Keepun · №844

SendSpam, можешь не тратить свою жизнь на этого полного "школьника по безопасности". Он учится не хочет - вот и сочиняет бредовые отмазки.

Keepun · №845

ladserg пишет

А ограничение файлового доступа у винды, кстати - это всего лишь служба, которую тоже лекго отключить

Какая там еще служба?

ladserg · №846

okkamas_knife пишет

ladserg пишет
Если надо было что то под админом запустить, то runas, sudo, запуск от другого пользователя...
это и плохо.
вообще сама возможность из под пользовательской учётки запускать чтото с большими правами это откровенная дыра безопасности.

Нет тут никакой дыры, пароль админа никому не выбалтывай, и sudo-правами не раскидывайся, вот и все дела.

okkamas_knife пишет

ladserg пишет
В таких случаях приходится и персонал обучать да и самому следить внимательно, т.к. время простоя таких компов, как правило, гораздо дороже обходится, чем смена всего обслуживающего персонала.
в таких аппаратах нужно разрешить запуск только необходимого софта,вести лог и делать бэкапы, а юзерам составить бумажку с правилами что можно делать на такой машине - остальное естественно запрещено. и ознакамливать под роспись плюс применять штрафные санкции за попытки использовать машину не по-назначению.
один поход к начальству с вполне конкретными выкладками и аргументами убивает кучу беготни и гимора.
и кстати работе с программой персонал вобщемто должны поставщики обучать а не админ.
админ должен лишь составить свод правил пользования техникой и ознакомить с ним персонал.
это всётаки рабочие машины а не личные.

Ты сколько таких систем обслуживал?
У систем, кои стоят дороже наших квартир, итак вменяемые пользователи, причём они как правило и знают больше админов (ибо обучены, очень редки, и отвечают лично), да еще и ценятся дороже чем весь ИТ персонал, т.к. ИТ-специалистов как грязи, а людей умеющих, например, читать КТ-снимки - единицы по всей России (ну есть ренгенологи мнящие что они способны на это, но как показала практика они ошибаются).

Так что всё выше перечисленное тобой увы и неверно и негодно.

ladserg · №847

Keepun пишет

ladserg пишет
А ограничение файлового доступа у винды, кстати - это всего лишь служба, которую тоже лекго отключить
Какая там еще служба?

Защищенное хранилище, если мне не изменяет память, отключи её, погляди на последствия

П.С. Хм, хотя похоже я тут с NT 4.0 путаю, Там действительно была отдельная служба, которая не пускала туда куда нельзя.

Отредактировано ladserg (04-02-2013 16:10:33)

Keepun · №848

okkamas_knife пишет

я обычный инсталлятор напишу на нсис который тупо почистит твой профиль от всякого "мусора"
и где защита то?

ты уже путаешь программы и инсталляторы? крут...
Но даже инсталляторам можно запретить админа через "set __COMPAT_LAYER=RUNASINVOKER"

ladserg · №849

okkamas_knife пишет

ladserg пишет
знают больше админов
значит такие фиговые админы.
и скажу тебе таких как ты описал - ответственных - единицы остались,те что еще из СССР,
и уж им то точно не надо пояснять что и как. а вот новое поколение - раздолбаи да и не забывай что очень мало контор не экономят на кадрах с соответствующими последствиями.
в тех случаях что ты описал админ требуется всего один раз - настроить тачку дальше админ вызывается как правило либо в случае неполадок в железе либо в случае если пришедший обновлять спец ПО накосячил,что вобщем тоже нечасто. случаи раздолбайства персонала там пресекаются административными методами.

Ты вообще о чём? Если ты про КТ установку за три мегбакса, то там админа и за пушечный выстрел не подпустят, и ничего там не обновляется, как производитель смонтировался всё, так и используется. Админская часть заключается только организации сети.

Откуда ты вообще берешь такие реплики, особенно на счёт фиговых админов? С какими системами тебе самому то на практике приходилось сталкиваться? Каков максимальный парк сетевых единиц, администрируемый тобой? Так легко говоришь о таких вещах. Особенно про админа ремонтирующего станцию стоимостью в 40к баксов? Никакой админ такое железо не будет ремонтировать сам, там пожизненная гарантия.

Отредактировано ladserg (04-02-2013 16:41:37)

Dеnis · №850

Не надо на кеды наезжать, это ваш гном разлагается, скоро вообще сгниет. У меня убунта зависла при настройке шрифтов. Кеды, если падают, то поднимаются.

Полезная информация

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Board footer