>>>> и почему, блин, в этой #%$#й винде отсутствует команда типа
>>>> 'chmod +s банк-клиент.exe'
>>>> - процентов 80 проблем ушло-бы в небытие безо всяких антивирусов
>>> и еще процентов 800 появилось бы.
>>> они сознательно от этого отказались при дизайне WinNT. А, в смысле от SUID? Так вернулись сейчас -- другими огородами, если правильно помню.
Да, неограниченный root, suid/sgid и /tmp -- три больных места UNIX. Кстати, ими тоже занимаются в post-UNIX под названием Linux, и довольно успешно (MAC/RBAC, POSIX capabilities плюс схемы вроде TCB, приватные TMPDIR).
>> Интересная мысль.
>факт.
[считать неактуальным: Где ж факт-то? Что обратное имеет подтверждение в виде вагона неочевидно принимаемых за признак исполняемости расширений (вовсе не только .scr) -- знаю, а потенциала для "ещё ~800%" не вижу. Можно подробней?]
>> Я-то думаю, почему виндовыми ACL толком никто не пользуется -- они такие замороченные,
>> что применять по назначению -- проще застрелиться бывает...
>интересно что ты скажешь, когда попробуешь SELinux`ом попользоваться...
>там тоже бывает трудно и ничего не понятно, если без чтения документации.
Им /необязательно/ пользоваться, в отличие от. Простые вещи должны и делаться просто.
А документацию по MAC-системам я читал, применять вот не доводилось.
>>> поэтому даже чтобы ping запустить на WinNT нужны права администратора.
>>На *NIX/freenix тоже, всё-таки работа с raw socket.
>ALT Linux:
>>-rws--x--- 1 root netadmin 32812 Aug 27 2003 /bin/ping
>FreeBSD:
>>-r-sr-xr-x 1 root wheel 206296 20 ноя 2004 /sbin/ping
>CentOS:
>-rwsr-xr-x 1 root root 33272 May 3 04:15 /bin/ping
>в FreeBSD/CentOS - не нужно, у ping выставлен SUID`ный бит.
...который и обеспечивает пресловутые права администратора.
>в ALT Linux - у пользователя зачем-то забрали возможность
>проводить диагностику сети. зачем было создавать лишние проблемы...
На том хосте вовсе необязательно каждому имеющиму шелл иметь доступ к лишнему привелегированному бинарнику. Если бы обязательно -- control ping public (и эти права сохраняются при обновлении пакета).
Кому надо -- те в netadmin.
>то что права доступа на чтение забрали - еще раз подтверждает
>мысль о том, что SUID/GUID биты - это потенциально очень опасная штука.
Угу.
Кстати, control(8) -- очень простая и уютная штука:
http://wiki.sisyphus.ru/admin/control
http://wiki.sisyphus.ru/devel/control
Спрашивайте в ваших дистрибутивах :)