Билл Гейтс, нобелевка и битвы на кухне

[Kirr]

Ну да. Вместо этого нужно покупать дорогущий Мак, где дерут втридорога за довольно посредственное железо
Разводить на бабки Джобс хорошо научился. Гейтс скромно стоит в сторонке и рыдает.

Ну этот стереотип мы опровергнули пару страниц назад. Там даже скриншотики есть аналогичных конфигураций дела

Это вы его исключительно в своей субьективной реальности опровергли.
Нет, я согласен что можно говорить про "удобство", про "достал и включил", т.д. т.п, но божиться что цена одинакова может только самый твердолобый фанатик.
Ещё раз: Мак - 2К. За вещь в себе. И кстати мне тоже - глянцевый монитор не нужен даже даром. Разве что в подвале поставлю на сервер.
Делл - 600 баксов за ящик. Причём добавил/поменял/улучшил.

Что именно одинаково???

[StrangerR]

Какие-то ужасы. Менял десятки серверов с одного железа на другое, включая замену контроллеров RAID и ядра Windows под разные мультипроцессорные системы. Не припомню особых проблем.

Типовая замена контроллера RAID в NT4:

1. Ставятся драйвера нового контроллера на старой машине
2. Сохраняется резервная копия
3. Ставится голая система на новый RAID
4. Восстанавливается резервная копия поверх ОС

Все.

О, какие ужасы... То есть просто перенести образ системы никак? А если нету оригинального инсталляционного диска от старой системы - куда вы однако резервную копию восстанавливаете??

[StrangerR]

Вы уж рекламируйте сильные стороны виндов - AD, к примеру. А не цепляйтесь за уродливые слабые. Файловая система там - полнейшее уродство.

Вот AD как раз я бы хвалить не стал по сравнению с NDS например.
А вот сравнение первобытного управления доступом в файловой системe в *них-ах с НТФС, будет явно не в пользу первой.

А чем он там первобытный? Акцесс листы там тоже есть. Просто ими пользуются лишь там где нужно, а не везде и всюду, и не пытаются гадить туда где живут, то бишь записывать лог файлы в фолдеры в которых живут библиотеки (к примеру).

[StrangerR]

Ну то есть нельзя ни того, ни другого. А я замотался в какой то момент переделывать серверы, на которых кончилось место в WinNT\system32 . Слава богу,
все это уехало на VMware и кошмара больше нету (на железе был постоянно - систему не перенесешь, железку не поменяешь...).

Все можно, может быть чуть менее тривиально. Ведь как оно у вас уехало на VMWare? Была система, запустили программку, получили image с совсем другим виртуальным hardware, и все ж потом загрузилось? Это же можно сделать и руками. Т.е. да, в сложных случаях может в лоб и не заработать, но разобраться почему не заработало и починить вполне можно.

Про то что место в WinNT/System32 кончилось и надо вдруг именно этот каталог переносить (а что оставить?) - это как-то удивительно. Ну не бывает оно больше пары гигабайт, зачем именно этот каталог переносить? А если вдруг будет, то это значит что логи со времен царя гороха надо бы переместить в другое место из System32\LogFiles (да, это не самое подходящее место, я согласен, но меняется элементарно).

Логи, анинсталлы, логи апгрейдов, кэш драйверов, далее везде... Там переносить не напереноситься...

Вот кстати:

Спрашиваем в винде:
$ du -sk Windows
7378920 Windows

Спрашиваем в линуксе

$ du -sk /boot
7839 /boot

Согласитесь, что 8 мегов переносить бывает нужно очень редко, а вот 8 гигов хлама (которые к тому же растут) достаточно часто.





Кста, не всегда и Vmware converter систему переносит. У меня есть одна, которая упирается до конца - так и не смог перенести, хотя пробовал разными способами. В конце концов пока плюнул, все равно одна система нужна для консоли.

[Zombie416]

Логи, анинсталлы, логи апгрейдов, кэш драйверов, далее везде... Там переносить не напереноситься...

Админа спрашивают при включении логов IIS, куда писать, в SYSTEM32\LogFiles? Можно написать /var/log/iis если так понятнее. Или перенести на другой диск через junction.

Повторюсь, включая кэш драйверов, много файлов в SYSTEM32 просто не бывает. Анинсталлы можно просто побить из C:\Windows ( не из SYSTEM32) или перенести на другой диск, с .NET-ом и всей остальной фигней заодно.

Вообщем, все это работает, и делается как угодно, было бы желание. Да, структура каталогов не совсем такая как в юниксе принято. И /etc хранится в базе данных, а не в текстовом файле.

[StrangerR]

Логи, анинсталлы, логи апгрейдов, кэш драйверов, далее везде... Там переносить не напереноситься...

Админа спрашивают при включении логов IIS, куда писать, в SYSTEM32\LogFiles? Можно написать /var/log/iis если так понятнее. Или перенести на другой диск через junction.

Повторюсь, включая кэш драйверов, много файлов в SYSTEM32 просто не бывает. Анинсталлы можно просто побить из C:\Windows ( не из SYSTEM32) или перенести на другой диск, с .NET-ом и всей остальной фигней заодно.

Вообщем, все это работает, и делается как угодно, было бы желание. Да, структура каталогов не совсем такая как в юниксе принято. И /etc хранится в базе данных, а не в текстовом файле.

работает, не работает - я вам показал размеры система на ОБЫЧНОМ РЯДОВОМ десктопе. 8 гигов и растет. А уж чего только я не нагляделся на серверах. И главное, хрена ведь куда перенесешь... В Линуксах и Солярисах пару раз в истори было - что-то вырастало - уносили примерно за 10 минут указанным выше способом, без малейшего геммороя.

И не фига там не логи. Да, счас посмотрим сколько же там файлов то, в system32:

6300, однако, нашлось:
AlexeiR@AlexeiR1 /cygdrive/c/Windows/System32
$ find . -noleaf -print | wc
6248 6563 157664

AlexeiR@AlexeiR1 /cygdrive/c/Windows/System32

Впрочем, в \Windows их 32 тысячи:

$ find c:/Windows -noleaf -print | wc
32733 35722 1804493

Очень приятно весь этот хлам потом переносить (где живем там и срем.. ну зачем спрашивается како то ie7.log засунут в c:\Windows?):

100 ie7.log
100 runtsckl.exe
104 WMSysPr9.prx
104 WMSysPrx.prx
112 KB963027-IE7.log
120 KB969897-IE7.log
120 KB974455-IE7.log
128 AuHCcup1.dll
136 OCGEN.LOG
144 MSMQINST.LOG
144 svcpack.log
152 updspapi.log
160 COMSETUP.LOG
160 tsc.exe
164 patchw32.dll
164 wmsetup.log
181 $NtUninstallKB888302$
184 WINHELP.EXE
192 SETUPACT.LOG
193 $NtUninstallKB886185$
201 $NtUninstallKB891781$
205 $NtUninstallKB824105$
205 $NtUninstallKB840315$
237 $NtUninstallKB821253$
252 TSOC.LOG
257 $NtUninstallKB885836$
280 PATCH.EXE
280 winhlp32.exe
296 uninst.exe
300 IsUninst.exe
308 msxml4-KB954430-enu.LOG
308 opuc.dll
341 $NtUninstallKB839643-DirectX9$
345 $NtUninstallKB873339$
360 $NtUninstallKB891122$
361 $NtServicePackUninstallIDNMitigationAPIs$
361 $NtServicePackUninstallNLSDownlevelMapping$
361 $NtUninstallKB898461$
361 $NtUninstallKB914440$
361 $NtUninstallKB915865$
361 $NtUninstallKB931836$
365 $NtUninstallKB914882$
365 $NtUninstallMSCompPackV1$
372 FaxSetup.log
373 $NtUninstallKB944653$
377 $NtUninstallWIC$
378 $NtUninstallKB938464$
378 $NtUninstallKB958869$
393 $NtUninstallKB896423$
397 $NtUninstallKB904942$
397 $NtUninstallbasecsp$
401 $NtUninstallKB948881$
405 $NtUninstallKB933360$
405 $NtUninstallKB942763$
405 $NtUninstallWudf01000$
409 $NtUninstallKB896428$
413 $NtUninstallKB911927$
413 $NtUninstallKB953839$
417 $NtUninstallKB920670$
417 $NtUninstallKB951072-v2$
417 $NtUninstallKB955839$
417 $NtUninstallKB973507$
417 $NtUninstallKB974571$
421 $NtUninstallKB960715$
421 $NtUninstallKB969898$
421 $NtUninstallKB973346$
425 $NtUninstallKB973525$
429 $NtUninstallKB901190$
429 $NtUninstallKB946648$
433 $NtUninstallKB952954$
437 $NtUninstallKB926436$
441 $NtUninstallKB971557$
444 putty.exe
445 $NtUninstallKB905749$
449 $NtUninstallKB911562$
457 $NtUninstallKB919007$
461 $NtUninstallKB973869$
465 $NtUninstallKB899591$
473 $NtUninstallKB971657$
477 $NtUninstallKB935840$
477 $NtUninstallKB950762$
480 $NtUninstallKB922582$
481 $NtUninstallKB900485$
481 $NtUninstallKB911280$
481 $NtUninstallKB956844$
485 $NtUninstallKB931261$
485 $NtUninstallKB970653-v3$
488 $NtUninstallKB960859$
489 $NtUninstallKB956803$
493 $NtUninstallKB960225$
496 TMUPDATE.DLL
497 $NtUninstallKB946026$
501 $NtUninstallKB918439$
505 $NtUninstallKB905414$
505 $NtUninstallKB973815$
508 msxml6-KB933579-enu-x86.LOG
508 msxml6-KB954459-enu-x86.LOG
509 $NtUninstallKB945553$
512 IIS6.LOG
517 $NtUninstallKB939683$
521 $NtUninstallKB941569$
525 $NtUninstallKB932168$
528 $NtUninstallKB961371$
533 $NtUninstallKB950974$
536 setupapi.log
549 $NtUninstallKB916595$
549 $NtUninstallKB936357$
552 DELL.BMP
557 $NtUninstallKB901214$
557 $NtUninstallKB954600$
557 $NtUninstallKB974112$
560 $NtUninstallKB920872$
565 $NtUninstallKB951376-v2$
573 $NtUninstallKB912919$
573 $NtUninstallKB927802$
577 $NtUninstallKB908519$
577 $NtUninstallKB930178$
577 $NtUninstallKB938829$
581 $NtUninstallKB899587$
581 $NtUninstallKB911564$
581 $NtUninstallKB922819$
581 $NtUninstallKB948590$
585 $NtUninstallKB954154_WM11$
588 network diagnostic
589 $NtUninstallKB893756$
590 Temp
593 $NtUninstallKB920683$
593 $NtUninstallKB932823-v3$
593 $NtUninstallKB956802$
593 $NtUninstallKB975467$
596 $NtUninstallKB817778$
597 $NtUninstallKB975025$
605 $NtUninstallKB840374$
605 $NtUninstallKB920213$
613 $NtUninstallKB929399$
613 $NtUninstallKB958644$
616 SchCache
625 $NtUninstallKB923414$
625 $NtUninstallKB952287$
628 $NtUninstallKB925720$
629 $NtUninstallKB914388$
633 $NtUninstallKB917953$
633 $NtUninstallKB941644$
637 $NtUninstallKB958687$
637 $NtUninstallKB961501$
641 $NtUninstallKB960803$
664 Cursors
677 $NtUninstallKB842773$
680 $NtUninstallKB923980$
685 $NtUninstallKB917344$
708 PeerNet
712 SYSTEM
725 $NtUninstallKB957097$
749 $NtUninstallKB971961$
757 $NtUninstallKB922616$
757 $NtUninstallKB928843$
777 $NtUninstallKB921503$
781 $NtUninstallKB961118$
785 $NtUninstallKB943055$
813 $NtUninstallKB923191$
817 $NtUninstallKB954155_WM9$
825 $NtUninstallKB926255$
841 $NtUninstallKB914389$
841 $NtUninstallKB930916$
857 $NtUninstallKB920214$
857 $NtUninstallKB941202$
873 $NtUninstallKB951066$
881 $NtUninstallKB925398_WMP64$
885 $NtUninstallKB841873$
897 $NtUninstallKB898458$
901 $NtUninstallKB925486$
905 $NtUninstallKB923723$
905 $NtUninstallKB943485$
953 $NtUninstallKB917422$
953 $NtUninstallKB935839$
957 $NtUninstallKB938828$
965 $NtUninstallKB933729$
977 $NtUninstallKB896358$
1008 $NtUninstallKB959426$
1012 explorer.exe
1016 $NtUninstallKB927779$
1016 vsapi32.dll
1025 $NtUninstallKB970238$
1044 $NtUninstallKB820291$
1072 Registration
1104 tsc.ptn
1109 $NtUninstallKB936021$
1121 $NtUninstallKB955069$
1125 $NtUninstallKB910437$
1129 $NtUninstallKB918118$
1137 $NtUninstallKB885835$
1140 $NtUninstallKB920342$
1213 $NtUninstallKB924191$
1220 $NtUninstallKB951748$
1229 $NtUninstallKB887472$
1233 $NtUninstallKB924270$
1241 $NtUninstallKB904706$
1241 $NtUninstallKB941568$
1257 $NtUninstallKB951698$
1257 $NtUninstallKB961373$
1257 $NtUninstallKB971633$
1280 winscp419.exe
1293 $NtUninstallKB924496$
1301 $NtUninstallKB901017$
1325 $NtUninstallKB973354$
1337 $NtUninstallKB969059$
1352 $NtUninstallKB923561$
1357 $NtUninstallKB920685$
1392 $NtUninstallKB926239$
1452 $NtUninstallKB937894$
1452 $NtUninstallKB952004$
1488 $NtUninstallKB925876$
1496 $NtUninstallKB968389$
1513 $NtUninstallQ828026$
1516 TeamViewerQS.exe
1581 $NtUninstallKB894391$
1584 $NtUninstallKB956744$
1664 $NtUninstallKB896344$
1664 WindowsUpdate.log
1685 $NtUninstallKB924667$
1689 $NtUninstallQ814995$
1789 $NtUninstallKB900930$
1845 $NtUninstallKB941693$
1849 $NtUninstallKB824141$
1861 $NtUninstallKB958690$
1865 $NtUninstallKB968537$
1988 cluster
2029 $NtUninstallKB968816_WM9$
2045 $NtUninstallKB927891$
2049 $NtUninstallKB896424$
2192 $NtUninstallKB913580$
2240 $NtUninstallKB911567$
2256 $NtUninstallKB837001$
2270 Debug
2284 $NtUninstallKB971032$
2308 $NtUninstallKB923694$
2328 $NtUninstallKB929123$
2382 Web
2504 $NtUninstallKB925902$
2540 Media
2760 $NtUninstallKB952069_WM9$
3081 $MSI31Uninstall_KB893803v2$
3261 $NtUninstallKB837272$
3364 MSAGENT
3697 $NtUninstallKB917734_WMP9$
4060 $NtUninstallKB835732$
4816 AppPatch
4928 $NtUninstallKB828741$
5172 Resources
5180 $NtUninstallKB902400$
5256 $NtUninstallKB829558$
5269 $NtUninstallKB908531$
5269 $NtUninstallKB921398$
5377 $NtUninstallKB928255$
5420 Prefetch
5445 $NtUninstallKB967715$
5453 $NtUninstallKB943460$
5528 $NtUninstallKB950749$
5625 $NtUninstallKB833998$
5692 $NtUninstallKB890859$
5793 $NtUninstallKB900725$
6029 $NtUninstallKB839645$
6772 $NtUninstallwmp11$
7708 $NtUninstallKB922760$
8148 $NtUninstallKB826939$
8793 $NtUninstallKB936782_WMP11$
8797 $NtUninstallKB959772_WM11$
8957 $NtUninstallKB973540_WM9L$
9044 SRCHASST
9722 SECURITY
9848 $NtUninstallKB931784$
9876 $NtUninstallKB956841$
9876 $NtUninstallKB971486$
10164 VPTNFILE.261
10300 REPAIR
12092 $NtUninstallWMFDist11$
12544 $NtUninstallKB956572$
21448 ie7
27695 Downloaded Program Files
29112 INF
38297 PCHealth
38934 WinSxS
48483 RegisteredPackages
51768 Downloaded Installations
88668 IME
115735 Driver Cache
123953 Fonts
146584 Help
182594 ie7updates
214205 $NtServicePackUninstall$
214664 Microsoft.NET
369223 ServicePackFiles
414685 assembly
879653 $hf_mig$
1182415 SYSTEM32
1255220 Installer
1492609 SoftwareDistribution


$

[Zombie416]

работает, не работает - я вам показал размеры система на ОБЫЧНОМ РЯДОВОМ десктопе. 8 гигов и растет.

Это не SYSTEM32. $NT* можно побить, остальное - в отдельных каталогах, которые можно переместить в другое место. Если нужно. Но размеры "8Гб и растет" не вызывает у меня, если честно, чувства что надо что-то куда-то срочно перемещать...

С такой логикой, в линуксах и солярисах вообще все в корень свалено. /usr/bin, /var/log/, и прочая - все в корне! Кошмар да и только, да еще и перепутанная макаронами всяких линков до полного маразма, что непонятно что где валяется, и когда все это кончится. Толи дело - система на C:, данные да D: - стройно и красиво

[StrangerR]

работает, не работает - я вам показал размеры система на ОБЫЧНОМ РЯДОВОМ десктопе. 8 гигов и растет.

Это не SYSTEM32. $NT* можно побить, остальное - в отдельных каталогах, которые можно переместить в другое место. Если нужно. Но размеры "8Гб и растет" не вызывает у меня, если честно, чувства что надо что-то куда-то срочно перемещать...

С такой логикой, в линуксах и солярисах вообще все в корень свалено. /usr/bin, /var/log/, и прочая - все в корне! Кошмар да и только, да еще и перепутанная макаронами всяких линков до полного маразма, что непонятно что где валяется, и когда все это кончится. Толи дело - система на C:, данные да D: - стройно и красиво

В линуксах-солярисах все ОЧЕНЬ логично

/lib, /bin /usr - могут быть сетевыми (особенно /usr), они Read Only. Систему вообще можно вызвать без дисков, есть куча конфигураций когда это отлично работает.

/var и /tmp содержат ВСЕ изменяющиеся системой файлы.

Приложения ставятся в зависимости от системы но обычно в /opt (если с текстов то в /usr/local) и перелинковываются куда надо
КОнфигурация в /etc причем он тоже нормально работает Read Only кроме соляриса и случая когда работает Оракл.

Любой из этих каталогов можно быстро перетащить на новое место если нужно, смонтировать на диск ну или так далее.
В приведенном примере вовсе не все из скажем Windows\system можно перетащить - там полно открытых файлов. ну а уж юзера если он залогинен или крутится что то под его именем - перетащить нельзя пока не убъешь.

Ну и вдобавок вечная история - какой то файл не доступен администратору на чтение. Да конечно, его можно передать администратору но это меняет доступ к нему предыдущего хозяина. Как прикажете перетаскивать??

Секьюрность во многих юниксах делается достаточно просто - закрываем на запись (монтируем RO) все кроме /var и /home и /tmp . После чего вирус хоть треснет хоть лопнет но никуда не попадет. Ну не совсем так но скажем во фрибзд есть понятие секюьре левела, и повысить его можно лишь с консоли - система настраивается, уровень ставится соответствующий (запрет изменений) и все - без физического доступа троян поставить невозможно в принципе (примерно так, там есть тонкости). Аналогично работает и chroot - запускаем юзера в песочнице если нужно и пускай там резвится (он будет думать что у него своя система). Побочное использование - запускаемся с CD монтируем рут с диска и говорим chroot /mnt - после чего оказываемся в контексте системы но с ядром с CD - вовсю применяется для тяжелых случаев переноса операционки (причем довольно часто применяется).

[Zombie416]

Приложения ставятся в зависимости от системы но обычно в /opt (если с текстов то в /usr/local) и перелинковываются куда надо

Ну и в Windows есть своя логика, части ОС и критичные системные сервисы живут в подкаталогах Windows. И эти подкаталоги тоже можно перелинковать куда надо.

Только перелинковывание ради перелинковывания и перенос ради переноса - зачем? Это не так часто надо. Вернее совсем не часто надо. Когда надо это делается. Почему это должно быть одинаково, и именно так и именно с той логикой как в Линуксе, и причем до всего этого файловая система? В Novell 6.5 было совсем иначе, в AS/400 каком-нить все вообще по-своему.

Ну и вдобавок вечная история - какой то файл не доступен администратору на чтение. Да конечно, его можно передать администратору но это меняет доступ к нему предыдущего хозяина. Как прикажете перетаскивать??

Насчет вечности этой истории можно поспорить.

Можно, например, сохранить текущего владельца и ACL, передать администратору, сделать что надо, потом вернуть обратно. Средств миллион, от SubInACL до PowerShell. Или, возможно, root, ака LocalSystem account, имеет доступ.

Секьюрность во многих юниксах делается достаточно просто

Секурность в многих Windows-ах делается еще проще - административных прав нету даже у администратора, пока он явно себе их не потребует. И запускать ПО с restricted privileges можно давным давно, в W2K в RunAs уже было если не ошибаюсь.

Только однопользовательский декстоп с идиотом-пользователем, который может устанавливать ПО, привык устанавливать все подряд (из форума какое howto почитает, и скриптик-рецептик запустит) от всего этого сильно безопаснее, при прочих равных, не становится.

[PavelM]

А чем он там первобытный? Акцесс листы там тоже есть. Просто ими пользуются лишь там где нужно

Да есть то они есть, но после NTFS или Netware, на эти списки как-то не впечатляют.

Давайте возьмем простой пример.

Имеется каталог и подкаталог.
Нужно чтобы одна группа имела доступ на чтение в каталоге и подкаталоге, а другая на чтение и запись. А третья только на чтение в подкаталоге.
Все остальные доступа иметь не должны.

Интересно как Вы это сделаете?

[PavelM]

Или вот другой больной вопрос по безопасности.
Надо пользователю делегировать отдельную привилегию.
Во многих *никсах нормального разделения ролей нет.
Вместо этого предлагается пользовать разные su и sudo.
Каменный век.

[StrangerR]

Или вот другой больной вопрос по безопасности.
Надо пользователю делегировать отдельную привилегию.
Во многих *никсах нормального разделения ролей нет.
Вместо этого предлагается пользовать разные su и sudo.
Каменный век.

На практике как раз делегировать права через sudo намного удобнее. Кроме прочего, получается РОВНО одно место, которое нужно контролировать. А вот в винде понять, какие именно права реально делегированы юзеру, невозможно в принципе.

[StrangerR]

А чем он там первобытный? Акцесс листы там тоже есть. Просто ими пользуются лишь там где нужно

Да есть то они есть, но после NTFS или Netware, на эти списки как-то не впечатляют.

Давайте возьмем простой пример.

Имеется каталог и подкаталог.
Нужно чтобы одна группа имела доступ на чтение в каталоге и подкаталоге, а другая на чтение и запись. А третья только на чтение в подкаталоге.
Все остальные доступа иметь не должны.

Интересно как Вы это сделаете?

Не понял проблемы. Делаем первую группу хозяином, даем нужные права обычным путем (кстати, права на что - чтение каталога или чтение файлов? Еще меня в винде затрахало то, что если в МОЙ каталог попадет ЧУЖОЙ файл, то уничтожить СВОЙ каталог я уже не могу, не имея прав на уничтожение этого файла). Делаем acl и делегируем права на остальных. Где там проблема. Завтра в офисе испытаю, но я проблем не вижу.

По жизни я такое делал куда проще, просто монтируя подкаталог в нужное место. Так как не фиг разводить такие чудеса, когда группа права чтения из подкаталога имеет а из каталога нет - это практически не поддается разумным аудитам и должно быть запрещено... А вообще то право чтения из каталога означает лишь что вы можете получить список объектов, но не относится к праву открывать объекты в этом каталоге.

Именно из за подобных наворотов секьюрити в винде и хромает - там наворочены такие чудеса доступа, что понять, корректны они или нет, не может никакая эвристика...

[fbagirov]

Проблема в Африке в том, что там многоуровневая систама "поимей-ка согражданина". Т.е., положим, изначально имеется группа из 10 равных граждан. Что произойдет, если одному из них получить распределение продуктов? А произойдет то, что моментально появится иерархическая система с 9-ю связями типа "крутой-лох". Или, положим, была деревня без колодца. Вождю деревни (в целом "позитивному парню") поставили инженеры конденсатор воды. Что произойдет? А произойдет то, что "позитивный парень" неожиданно превратиться в большого ассхола и начнет наживаться на своих земляках.

Есть и такие:

http://www.thedailyshow.com/watch/wed-o ... -kamkwamba

Правда их потом в Америку вывозят

[Golyadkin]

Еще о пользе Windows

Я же говорю - опера не нашли в офисе ни одной винды и впали вступор, от этого начали лютовать. Так что одну винду оставьте на развод.

(с российского форума, посвященного системам экстренного уничтожения данных (!))

[PavelM]

На практике как раз делегировать права через sudo намного удобнее. Кроме прочего, получается РОВНО одно место, которое нужно контролировать.

Дык удобнее то удобнее, но не значит безопаснее.
Улицу вот тоже удобнее перебегать на красный свет.

Да и со словом РОВНО Вы погорячились.
Как раз не ровно, а в зависимости от того какой недоучка писал очередную комманду ПИНГ или КИЛЛ и где он там прошляпил возможности запуска Шелл или еще чего.

Ключевая разница между Win и *них тут в том что в первой доступ контролируется по дескриптору пользователя. И если дана привилегия, то по какой дорожке не иди, через консоль, скрипт или ГУИ, ограничения не обойдешь.

А вот в *них, все зависит от того как, кем и с какой целью написан код программы, и есть там лазейки или нет.

Строить защиту ОС на тоннах дырявых приложений, это даже не каменный век, это мезозой.

[PavelM]

Не понял проблемы. Делаем первую группу хозяином ...

По жизни я такое делал куда проще, просто монтируя подкаталог в нужное место. Так как не фиг разводить такие чудеса, когда группа права чтения из подкаталога имеет а из каталога нет - это практически не поддается разумным аудитам и должно быть запрещено...

Не, хозяином не пойдет. Мне надо только чтение и не надо чтобы группа могла менять права доступа.

Т.е. я понял, что при доступе двух и более групп с разными привилегиями, начинаются пляски с бубном.

Нащет "должно быть запрещено", это вообще нонсенс. Дело разработчика ОС дать инструмент, а не диктовать как администратору строить свои каталоги.

[Flash-04]

А вот в винде понять, какие именно права реально делегированы юзеру, невозможно в принципе.

How to Use Dsacls.exe in Windows Server 2003 and Windows 2000

[StrangerR]

На практике как раз делегировать права через sudo намного удобнее. Кроме прочего, получается РОВНО одно место, которое нужно контролировать.

Дык удобнее то удобнее, но не значит безопаснее.
Улицу вот тоже удобнее перебегать на красный свет.

Да и со словом РОВНО Вы погорячились.
Как раз не ровно, а в зависимости от того какой недоучка писал очередную комманду ПИНГ или КИЛЛ и где он там прошляпил возможности запуска Шелл или еще чего.

Ключевая разница между Win и *них тут в том что в первой доступ контролируется по дескриптору пользователя. И если дана привилегия, то по какой дорожке не иди, через консоль, скрипт или ГУИ, ограничения не обойдешь.

А вот в *них, все зависит от того как, кем и с какой целью написан код программы, и есть там лазейки или нет.

Строить защиту ОС на тоннах дырявых приложений, это даже не каменный век, это мезозой.

Ага. В итоге в винде в аналог крона приходится забивать юзерские пароли. Очень грамотно и приятно...

В Винде эти права размазаны по тысяче акцесс листов, и проверить как установлены права на программы в том же system32 практически невозможно.

[PavelM]

Ага. В итоге в винде в аналог крона приходится забивать юзерские пароли. Очень грамотно и приятно...

Именно что грамотно.
Процесс использует уникальный дескриптор и права пользователя, которыми он жестко ограничен. А не то что 30 человек шарятся в системе под правами рута ограниченные только картонной оболочкой дырявых программ.

Причем поскольку пароль неизвлекаем, никакой опасности его использование не представляет.

Что касается "тысяч аксесс-листов" - это просто рай, по сравнению сотнями тысяч дырявых прог, кои проверить на герметичность уж тем более нет никакой возможности.

Вы никак понять разницу не можете. В Виндовс доступ контролируется на уровне обьекта к которому осуществляется этот доступ. А в Юниксе - на уровне инструмента доступа. Поетому от пользователя прячут все опасные инструменты.

Подход абсолютно непродуктивный и тупиковый с т.з. безопасности.

[Zombie416]

Ага. В итоге в винде в аналог крона приходится забивать юзерские пароли. Очень грамотно и приятно...

Если надо пустить от имени интерактивного пользователя или системы - не надо. А в противном случае вариантов как сделать полный и безопасный логин мало т.к. чтобы запустить что-то от имени пользователя, его надо залогинить и выдать ему свежий токен с domain controller (чтобы оно сетевые ресурсы могло доставать, например).

В Винде эти права размазаны по тысяче акцесс листов, и проверить как установлены права на программы в том же system32 практически невозможно.

Примерно как открыть XLS файлы

Если заранее заявить что невозможно, то ничего сделать, конечно, нельзя. Но вообще тулзов посмотреть и вывести summary - вагон с тележкой. Хоть DumpACL (15 летней давности), хоть встроенные в Windows icacls и т.д.

[Basil]

А что эта тема по-прежнему делает в Политике?

[Zombie416]

А что эта тема по-прежнему делает в Политике?

А куда ее? Это ж не вопросы IT.

Идет детальное разбирательство более важных вопросов, мирового значения. Если выяснится Билл хорошую ОС сделал, и XLS файлы открываются, будем ему Нобелевскую давать. А если плохую, еще хуже Линукса - пенделя ему, а не премию. У нас-то все строго, не забалуешь...

[StrangerR]

Ага. В итоге в винде в аналог крона приходится забивать юзерские пароли. Очень грамотно и приятно...

Именно что грамотно.
Процесс использует уникальный дескриптор и права пользователя, которыми он жестко ограничен. А не то что 30 человек шарятся в системе под правами рута ограниченные только картонной оболочкой дырявых программ.

Причем поскольку пароль неизвлекаем, никакой опасности его использование не представляет.

Что касается "тысяч аксесс-листов" - это просто рай, по сравнению сотнями тысяч дырявых прог, кои проверить на герметичность уж тем более нет никакой возможности.

Вы никак понять разницу не можете. В Виндовс доступ контролируется на уровне обьекта к которому осуществляется этот доступ. А в Юниксе - на уровне инструмента доступа. Поетому от пользователя прячут все опасные инструменты.

Подход абсолютно непродуктивный и тупиковый с т.з. безопасности.

Рут вполне даже ограничивается в правах. КОгда это реально нужно. Причем ограничивается ПОЛНОСТЬЮ, не как в винде администратор.

А в винде из за корявых листов все время приходится эти права перелопачивать меняя хозяина чтобы простоо файлы переписать. По жизни винда получается намного меньше секьюрной.

(А еще подскажите аналога chroot-а, пожалуйста. Как запустить программу, которой нужно много разных административных прав, но так чтобы она ничего не могла понаделать если ее хакнут. заранее спасибо. Да, и еще аналог AppArmor туда же... приложите.)

[Zombie416]

Как запустить программу, которой нужно много разных административных прав, но так чтобы она ничего не могла понаделать если ее хакнут.

"нужно много разных административных прав, но так чтобы она ничего не могла понаделать" - это называется полный маразм. Либо ей нужны права, либо нет. Более того, сколько-нибудь сложной программе еще нужно ходить по сети, поэтому все "чтобы она не могла поделать" заканчиваются в пределах одной коробки изначально.

Разумное решение - это ставить программу под отдельным пользователем, и расставлять ACLы явно разрешающие ей делать только нужное, и включающие аудит где нужно, (в том числе на серверах на которые она может полезть). Если поделка ну очень кривая, но запустить ее все-таки надо, есть UAC и File & Registry Virtualization когда попытки модифицировать системные ресурсы у программы получаются, но на всю остальную систему не влияют.

Или, в качестве альтернативы, можно писать приложение на .NET и запускать в Medium Trust.

заранее спасибо. Да, и еще аналог AppArmor туда же... приложите.)

В смысле аналог технологии, всех разрабочиков которой разогнали?