| 1.1, Аноним (-), 09:09, 12/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– | |
Показателен ответ разработчиков Ubuntu на сообщение о баге, которое было отправлено ещё в феврале:
"Ow. Unfortunately I don't have any information on how to fix this since most of the work on guest sessions and systemd was done by Martin Pitt."
В итоге, после трёх месяцев не придумали ничего, чем просто отключить гостевой сеанс.
| | |
| |
| 2.2, Аноним (-), 09:11, 12/05/2017 [^] [^^] [^^^] [ответить]
| +23 +/– |
Зря ругаешь. Это обычный самоотвод, т.к. вопрос вне компетенций данного инженера. Во всем виноват systemd, это очевидно.
| | |
| |
| 3.26, Аноним (-), 14:28, 12/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
То есть в других дистрибутивах с systemd всё нормально, и только в Ubuntu проблемы, но виноват все равно systemd. Логика железная.
| | |
| |
| 4.35, Адекват (ok), 15:27, 12/05/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
 > То есть в других дистрибутивах с systemd всё нормально, и только в
> Ubuntu проблемы, но виноват все равно systemd. Логика железная.
Без СистемД данная проблема была ?
| | |
| |
| 5.43, Аноним (-), 15:37, 13/05/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
То есть если бы был открыт доступ к ssh с публичным паролем, это была бы проблема ssh? Ведь без него проблемы нет.
| | |
|
|
|
|
| |
| 2.9, hoopoe (ok), 09:47, 12/05/2017 [^] [^^] [^^^] [ответить]
| +12 +/– |
 там немного другое: на системе есть зареганые юзеры - они могут видеть файлы друг друга, и есть гостевой сеанс - он не должен видеть файлы остальных узверей. вот это "не должен" и сломали при внедрении systemd
вообще странно что гостя тупо не засунули под контейнера, это самый очевидный способ загнать в клетку
| | |
| |
| 3.13, Аноним (-), 10:16, 12/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
засовывать его в контейнер ещё тот аттракцион, причём с учётом того что нужно будет пропихнуть в контейнер, не факт что поможет.
| | |
| 3.15, X3asd (ok), 10:17, 12/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > они могут видеть файлы друг друга
наверно могут те -- которые сделали их друг для друга доступными через вызов setfacl?
> и есть гостевой сеанс - он не должен видеть файлы остальных узверей
потому что ни кто не делал вызов setfacl для него?
| | |
| |
| |
| 5.18, UUU (?), 11:17, 12/05/2017 [^] [^^] [^^^] [ответить]
| –3 +/– |
1. $ find /home/user -type f -exec chmod 600 {} \;
2. $ find /home/user -type d -exec chmod 700 {} \;
Только не перепутайте последовательность.
| | |
| |
| 6.19, Аноним (-), 11:34, 12/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
1. Достаточно {} или нужно "{}" (с кавычками)?
2. Что будет если перепутать последовательность?
| | |
| |
| 7.22, UUU (?), 11:45, 12/05/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
1. На практике достаточно.
2. Не войдете потом ни в одну папку в домашней директории.
3. Имя пользователя нужное не забудьте подставить вместо "user".
| | |
|
| |
| 7.49, Аноним (-), 23:31, 16/05/2017 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> $ chmod -R a=,u+rwX ~
chmod -R go-rwx ~ # у группы и осталных отобрать read, write, execute
А что ваш набор букв означает?
| | |
|
|
| 5.46, XoRe (ok), 08:32, 15/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > Неа. По дефолту юзеры без проблем могут шастать по чужой домашней папке
В зависимости от дефолтных настроек.
| | |
|
|
| 3.24, yan123 (?), 14:16, 12/05/2017 [^] [^^] [^^^] [ответить]
| +6 +/– |
Тогда все юзеры идут в группу users, а гость в группу guest, права выставляем соответсвенно.
(с) мопед не мой -- подход придуман где-то в ранних 70-х умными людьми и вроде как обкатан и железобетонно работал всё это время.
Меня тоже в убунте иногда удивляет желание разработчиков прикрутить свои "велосипеды" вместо использования простого рабочего решения.
| | |
| 3.42, Аноним (-), 21:37, 12/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> там немного другое: на системе есть зареганые юзеры - они могут видеть
> файлы друг друга
Все давно уже есть, делаете специальную группу для этих вездешастающих юзеров, добавляете их в ту группу и делаете
chmod 750 ~
chown :special_group ~
voila!
Кстати, если просто хочется закрыть доступ к домашнему каталогу для других пользователей (включая системных пользователей как nobody и daemon), в chmod не нужно -R, path traversal не будет работать если нет доступа к хотя бы одному каталогу. chmod 700 $HOME хватит. Адептам find ... -exec chmod советую "chmod 700 /".
| | |
| 3.44, Аноним (-), 19:15, 13/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
Они могут видеть потому что являются членами группы, которой разрешено смотреть в чужие хоумы. И это "не должен" не зависит от системдэ.
| | |
|
|
| |
| |
| 3.20, J.L. (?), 11:35, 12/05/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
 > Это ещё мелочи. Вот когда его ломать начнут...
поскорее бы, а то скушно читать хейтеров systemd, одна слюна и никакой крошки
| | |
| |
| 4.23, Аноним (-), 13:14, 12/05/2017 [^] [^^] [^^^] [ответить]
| +11 +/– |
>> Это ещё мелочи. Вот когда его ломать начнут...
> поскорее бы,
А что, самостоятельные сломы типа
https://github.com/systemd/systemd/issues/1143
> By setting the date to sometime in 2038, we can make systemd getting stuck printing systemd[1]: Time has been changed over and over again.
или
https://www.agwa.name/blog/post/how_to_crash_systemd_in_one_tweet (ну да, кто бы мог подумать, что параметр-то пустой будет, а?)
ну или
https://github.com/systemd/systemd/issues/5644
> tmpfiles: R! /dir/.* destroys root
https://github.com/systemd/systemd/issues/5441
> Assertion 'path' failed .. Freezing execution
уже не считаются, да?
> а то скушно читать хейтеров systemd,
Так возьмите и почитайте код systemd. Правда, можете сами стать хейтером.
> одна слюна и никакой крошки
Одни фантазии поттерофилов и никакой конкретики.
| | |
| |
| 5.45, Аноним (-), 19:17, 13/05/2017 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Одни фантазии поттерофилов и никакой конкретики.
эту школоту надо заставить пользоваться своим фетишем, а не блеять о его офигенности на форумах, вот тогда и посмеяться можно будет
| | |
|
|
|
|
| 1.11, Аноним (-), 09:55, 12/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Ах да, в убунту же сделали гостевой аккаунт. Ещё в релизе 8.10... Так и не затестил. Спасибо что напомнили!
| | |
| |
| 2.14, Аноним (-), 10:17, 12/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ах да, в убунту же сделали гостевой аккаунт. Ещё в релизе 8.10...
> Так и не затестил. Спасибо что напомнили!
Неожиданно вспомнил о нём когда человеку(не случайному) срочно понадобился комп, а дома был ноут с убунтой :)
| | |
| |
| 3.28, нах (?), 14:32, 12/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Неожиданно вспомнил о нём когда человеку(не случайному) срочно понадобился комп, а дома
> был ноут с убунтой :)
боюсь спросить - там adduser поломан уже насовсем, или "не случайному" - в смысле, полицаи пришли, cp искать, и надо было срочно сделать вид, что никаких других юзеров там нет?
| | |
| |
| |
| 5.38, Аноним (-), 18:38, 12/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Поттеринг же, теперь cp в /usr/bin. Вот так мы беспалевно храним ЦоПэ в /bin/cp, и никто даже не думает там искать :-)
| | |
|
| 4.50, Аноним (-), 23:44, 16/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Да в чем пилять юмор. Я уж и гугол теребил. И в рестриктет шел cp нормально работает.
Что за фишка с гостевым пользователем и cp?
| | |
|
|
|
| 1.47, Аноним (-), 13:50, 15/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> Проблема проявляется начиная с Ubuntu 16.10 и вызвана прекращением применения ограничений AppArmor (в Ubuntu 16.04 и более ранних выпусках применялся профиль /usr/lib/lightdm/lightdm-guest-session) после перехода к использованию systemd для управления сеансами.
А я уже думал на что же переходить с LinuxMint 17 (который на основе 14.04)
> Linux Mint 18 is based on Ubuntu 16.04.
Тогда надо брать.
| | |
| 1.55, Аноним (55), 22:00, 24/07/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Эта долбанная AppArmor вместо того чтобы защищать систему наоборот позволяет получить доступ над всем сервером на ubuntu и debian злодей 3 раза уже взламывал через нее мой сервер представляясь как кэш полиция Гугла блокируя мои директивы, пристраивая свой кэш и воруя мой трафик, сразу и не заметишь, при этом не позволяя мне отключить ее, приходилось полностью переустанавливать систему и сервер, если бы не отдельный аккаунт на VPS биллинг то полностью бы потерял контроль над сервером. Разработчикам стоит задуматься над этим полуфабрикатом а не запускать ее по умолчанию.
| | |
|
