squid владелец
karpos 20 сентября, 2012 - 21:01
установил squid + rejik настроил. Вроде все работает только одно мучает меня в top squid светится под пользователем squid
а в /etc/squid пользователь root на саму попка и на все в ней файлы в том числе squid.conf (на доступ к файлам 644).
Зашел в /usr/sbin/squid пользователь root (на доступ к файлам 775)
А логи создаются нормально /var/log/squid пользователь squid?
Вопрос это нормально так или так не должно быть. Устанавливал squid emerge squid.
С rejik все нормально и пользователь squid и работает под squid.
»
- Для комментирования войдите или зарегистрируйтесь
Как должно быть по
Как должно быть по вашему?(почему?)
По моему должно быть чтоб
По моему должно быть чтоб squid владелец работал из под пользователя squid.
ИМХО всё логично. Из
ИМХО всё логично.
Из соображений безопасности демон работает от имени специального пользователя.
Однако запуск демона (открытие портов) ЕМНИП требует полномочий root'а.
+ из соображений безопасности пользователю, от имени которого запускается демон, иметь права на изменение конфигурационных файлов... лишнее.
Отсюда естественным образом следует логичность назначения владельцем конфигурационных файлов root'а.
:wq
--
Live free or die
Однако запуск демона
Та ну, а на linux.org об этом знают ? ;)
не следует и не логично, просто ограничения DAC не дают делать нормально
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
.
Ога, знаем плавали.
Такие же "учёные"-историки (которых правильнее называть "традиисторегами") в несомненно "научных" трудах (освящённых интересами частной политической конъюнктуры) утверждали, что причиной "отсталости" советских ВВС в ВОВ являлось вынужденное использование дерева (см. твоё утверждение про DAC).
А также я бы с большим интересом посмотрел на то, как ты на элементной базе начала 70-х (выбор временного интервала, надеюсь, объяснять не надо?) сделаешь что-то более правильное и при этом работающее (с хотя бы сопоставимой эффективностью).
Касаемо же твоего предмета преклонения можно (и нужно) поинтересовать условиями применимости.
:wq
--
Live free or die
Ну и забористая же у тебя
Ну и забористая же у тебя трава....
eegorov написал(а): Ну и
Твоя не хуже.
А перлы когда напрягать себя пониманием не хочется, но и с желанием сказать хоть что-то бороться лень так вообще прекрасны.
:wq
--
Live free or die
Все хорошо сказал. Одну вещь
Все хорошо сказал. Одну вещь не учел только - прошло 30 с лишним лет с твоих 70-х. Может за это время придумали и апробировали кое-что более новое? :-)
Нейтральность - высшее достижение сознания!
Ничего принципиально нового
Ничего принципиально нового за 42 года не придумали. В этом достаточно легко убедиться. Впрочем буду рад, ежели вместо загадочного апробированного "коечего" вы приведете реальный пример. Идеология юникс со своим шедевральным веем не без недостатков, как и любое техническое решение. Тем не менее подобные решения надежны, дешевы , эффективны, и изначально обладают большей защищенностью , нежели закупленные у конкурентов инновации от MS.
Цитата: Ничего принципиально
Что было в unix раньше - MAC или DAC?
Нейтральность - высшее достижение сознания!
Мне достаточно старого
Мне достаточно старого доброго дискреционного контроля. Как на персоналке, так и на серверах. Ему лет столько же, сколько никсам. Решение и по настоящее время обеспечивает приемлемый уровень защищенности. В надстройке selinux ничего принципиально нового нет. Программная реализация схожа с iptables и squid, потребляет приблизительно столько же системных ресурсов. Работают, кстати, медленнее чем DAC и поверх DAC и принципиально не могут дать больше прав, чем было выделено старым добрым ugo. И таки да, есть мнение что MAC - костыль, позволяющий более менее безопасно эксплуатировать кривой софт.
Цитата: Решение и по
Угу, а PAX наверное по вашему дебилы придумали. Это конечно не MAC и немного в другую степь, но судя по всему вы это тоже не используете.
MAC selinux-ом не ограничивается. Мне вот больше по душе GrSecurity.
*facepalm*
Суть MAC - выдать МЕНЬШЕ прав чем DAC в определенных случах. Точнее даже наоборот - выдать права указанные в DAC только тем, кому надо, а остальным - постольку поскольку. И кривость программ тут не при чем.
Нейтральность - высшее достижение сознания!
.
И что? :)
Я могу назвать не один и не два примера технических решений, которые даже с учётом возможностей элементной базы не сильно оптимизируются (до практической нецелесообразности).
На интервале поболее 42-х лет.
Полнимаешь в чём дело...
Придумать (и даже проверить на стенде) для постулирования превосходства недостаточно.
:wq
--
Live free or die
Когда я говорил апробировали
Когда я говорил апробировали - я имел ввиду полномасштабное тестирование и ввод в эксплуатацию в продакшен. А не разовый прогон на тестовом стенде
Нейтральность - высшее достижение сознания!
/
В общем и целом формальное замечание справедливо. Но только формальное :)
Когда я говорил по постулировании превосходства, автоматически подразумевалось удовлетворение требованиям массовой серии.
Что, согласись, накладывает существенные ограничения на пространство пригодных решений.
:wq
--
Live free or die