>>>>> и почему, блин, в этой #%$#й винде
>>>>> отсутствует команда типа 'chmod +s банк-клиент.exe'
>>>>> - процентов 80 проблем ушло-бы в небытие безо всяких антивирусов
>>>> и еще процентов 800 появилось бы.
>>>> они сознательно от этого отказались при дизайне WinNT.
> А, в смысле от SUID?Да.
> Так вернулись сейчас -- другими огородами, если правильно помню.
сейчас - это WinNT 5.2 или WinNT 6.0 ? в 5.2 я ничего такого не встречал.
да и вряд-ли в 6.0 они будут делать SUID/SGID, там наоборот они ограничивают
даже учетную запись Administrator. (т.е. борются с проблемой "неограниченный root")
> Да, неограниченный root, suid/sgid и /tmp -- три больных места UNIX.
общий каталог /tmp сейчас защищается с помощью sticky bit. этого разве не достаточно?
если бы там были действительно серьезные проблемы из-за общего /tmp, в большинстве
дистрибутивов уже давным давно бы реализовали отдельные /tmp для каждого пользователя.
> в post-UNIX под названием Linux
для того, чтобы ядро Linux могло называться "post-UNIX"
1) в нем должны быть реализованы все возможности UNIX. ( POSIX, etc )
2) должны быть какие-то уникальные особенности, которые позволяют выделить
ядро Linux в отдельный подкласс внутри класса UNIX-like операционных систем.
первое - скорее всего да. второе - нет. не вижу никаких уникальных особенностей.
при класификации принимается во внимание сам результат, а не способ его достижения.
>>> Интересная мысль.
>>факт.
>[считать неактуальным: Где ж факт-то? Что обратное имеет подтверждение в виде
>вагона неочевидно принимаемых за признак исполняемости расширений (вовсе не только .scr)
>-- знаю, а потенциала для "ещё ~800%" не вижу. Можно подробней?]
факт в том, что архитекторы WinNT изначально отказались от SUID/SGID при разработке
WinNT, учитывая опыт использования и проблемы, какие были с этой фичей в системах UNIX.
по поводу исполняемых .scr - здесь не надо путать ядро системы (WinNT) и Win32 subsystem.
само ядро спроектировано было достаточно грамотно и трезво. применили и модные в то время
архитектурные решения в виде микроядра (кто ж знал, что IA32 всех конкурентов задавит).
да, микроядро планировалось применять для облегчения портирования на новые аппаратные
архитектуры. например, существовали версии WinNT для процессоров DEC Alpha, MIPS, PowerPC,
SPARC, и т.п. для облегчения портирования на другие платформы кроме микроядра применяли
также технологию HAL (Hardware Abstraction Layer).
то что известно как Win32 API - это во многом портирование Win16 API под 32 бита.
Win16 API - такое кривое потому, что работает в режиме невытесняющей многозадачности.
поверх ядра NT (native API) кроме Win32 subsystem выполнялась, например, POSIX subsystem
и OS/2 subsystem. при желании - можно было добавить практически все что нужно.
например, одна из сторонних компаний, Internix, которая разработая полноценную
UNIX subsystem для WinNT была очень быстро куплена майкрософтом, сейчас их наработки
бесплатно доступны с сайта майкрософта под именем Microsoft Windows Services for UNIX,
и этот продукт сейчас позиционируется, как помощь в мигрировании с UNIX на Windows NT.
> Простые вещи должны и делаться просто.
...а сложные вещи должны быть доступны?
только вот сейчас Perl5 везде постепенно уступает свое место Python`у.
>>>> поэтому даже чтобы ping запустить на WinNT нужны права администратора.
>>>На *NIX/freenix тоже, всё-таки работа с raw socket.
>>в FreeBSD/CentOS - не нужно, у ping выставлен SUID`ный бит.
>...который и обеспечивает пресловутые права администратора.
это уже детали реализации, каким именно способом это реализовано.
но пользователю в FreeBSD/CentOS не нужны права администратора
для того, чтобы с помощью ping провести диагностику сети.
в WinNT - это невозможно. командой ping может пользоваться
только тот пользователь, который имеет права администратора.
>> в ALT Linux - у пользователя зачем-то забрали возможность
>> проводить диагностику сети. зачем было создавать лишние проблемы...
> На том хосте вовсе необязательно каждому имеющиму шелл иметь доступ к лишнему
> привелегированному бинарнику. Если бы обязательно -- control ping public
> (и эти права сохраняются при обновлении пакета).
если действительно нужно обеспечить высокий уровень безопасности - пользуются SELinux.
>http://wiki.sisyphus.ru/devel/control
su - это сокращение от "swith user" а не "superuser".