|
|
|
Возраст: 34  
C нами с 30.04.2006
Репутация: 77.5  
|
|
MinDeR, я с вами совершенно не согласен, и вот мои доводы:
1) Я могу не беспокоиться, что мои родители из-под своих учеток залезут в системную директорию и прибьют что-нибудь нужное системе.
2) Любые вредоносные скрипты, запущенные из-под юзера, не едят системные файлы - а значит в случае чего, мне не придется тартить время на переустановку оси.
Что касается потери пользовательских данных - тут уж надо бэкапы делать, и ничего Вы с этим не поделаете. А для того, чтобы не сидеть под рутом - достаточно уже двух вышеобозначенных аргументов.
Плюс к вышесказанному: Юзерам - юзерские утилиты. Админам - админские. Это гарант того, что они не отформатируют хард, запустив, допустим, GParted вместо Brasero, ну или выбрав не тот девайс в UNetBootIn. 
|
_____________________________
Дайте в руки мне баян, я порву его совсем.
|
|
|
|
|
 |
|
|
|
Возраст: 46 
C нами с 19.08.2008
Репутация: 83.3
|
|
inkognit, сегодня Линукс поставить быстрее и проще, чем Винду. Если есть что-нибудь типа kickstart, то всё вообще сводится к часу-двум почти без участия человека. Поэтому сохранность самой системы мало кого волнует. А вот пользовательские данные действительно важны. Делать инкрементальную резервную копию хотя бы раз в неделю — пардон, задротство даже для программиста (по себе сужу).
Однако, я с вами соглашусь: бардак поощрять не стоит. Пользователю — пользователево, админу — админово. Благо Линукс — не Винда, в нём это разделение в саму культуру проникло давно и бережно лелеется.
|
|
|
|
|
|
|
|
|
|
|
Возраст: 36 
C нами с 08.01.2006
Репутация: 128.1
|
|
inkognit,
Тема пошла не в то русло.
Если важно, чтобы система работала, то НЕОБХОДИМО отделять системные данные от пользовательских. Также аккуратно выставлять бит запуска для софта, который может порушить систему. В принципе, это уже всё реализовано в самой системе. Однако некоторые быдлокодеры часто пренебрегают системой прав unix-систем. Это особенно касается веб-девелоперов, которые рекомендуют устанавливать права 777, вместо того, чтобы указать имя пользователя и группу, под которой работает веб-сервер.
То есть фактически каждый сервис должен иметь своего пользователя и группу, и файлы, принадлежащие сервису не смогут быть изменены другим сервисом. и это правильно.
Что касается системных файлов(минимально: ядро, окружение, shell) они вообще не должны быть изменены при нормальной работе. Где-то я уже писал про chflags
|
_____________________________
Unsort Yourself нафиг
|
|
|
|
|
|
|
|
|
C нами с 09.04.2005
Репутация: 0.1
|
|
|
Не совсем понятно почему не говорится о noexec на /home разделе?
|
|
|
|
|
|
|
|
|
|
|
Возраст: 46
C нами с 19.08.2008
Репутация: 83.3
|
|
|
DALDON, это такой сорт экстремизма, который не всем подойдёт Да и rm -rf можно прямо от / сделать. Ваш хомяк он найдёт рано или поздно.
|
|
|
|
|
|
|
|
|
|
|
C нами с 09.04.2005
Репутация: 0.1
|
|
|
tigra564, ну по крайней мере зловед c "+x" устанет запускаться из /home
|
|
|
|
|
|
|
|
|
|
|
Возраст: 46
C нами с 19.08.2008
Репутация: 83.3
|
|
|
DALDON, я так понимаю, что и /tmp у вас с noexec смонтировано, да? В целом мысль здравая, особенно, если вы не разрабатываете ПО и не запускаете сборки из архивов, что для простого пользователя — самое оно.
|
|
|
|
|
|
|
|
|
|
|
C нами с 09.04.2005
Репутация: 0.1
|
|
Ну вообще можно, /var /etc /tmp /home свободно с noexec монтировать, на мой взгляд. / в ro.
А вообще на мой взгляд это можно всё сделать. Для on-line банкинга - держать VM - LiveCD, и для разработки, сборки ПО держать ещё одну VM, это-ж бесплатно, не надо никаких лицензионных отчислений за кол-во ОС, да и основная система не будет засоряться пакетами вида *-dev.
Ведь за это мы и любим свободные ОС, и Linux в частности - гибкость!
Кстати для backup я рекомендовал бы rsnapshot, как достойную обёртку rsync.
|
|
|
|
|
|
|
|
|
|
|
Возраст: 34
C нами с 30.04.2006
Репутация: 77.5
|
|
MinDeR, да ладно... Какое может быть русло у заглохшей темы?
Что касается вашего поста, то я не совсем понял - вы таки соглашаетесь, что под рутом сидеть не хорошо, и что надо выставлять suid и +x только необходимым пользователю программам?
tigra564, ну, меня как-то не смущает создание резервных копий важных данных. Основной объем - это ведь фильмы, музыка, образы дисков - о них можно не беспокоиться. А инкрементальные копии действительно важных данных - не такой уж большой объем работ.
Разрешаю Вам считать меня задротом.
DALDON, о noexec на /home не говорится, наверное, из-за wine, который требует бит +x для запуска exe-шников. По поводу остальных каталогов - согласен.
Кстати, спасибо за rsnapshot - уже ознакомляюсь.
|
_____________________________
Дайте в руки мне баян, я порву его совсем.
|
|
|
|
|
|
|
|
|
Возраст: 46
C нами с 19.08.2008
Репутация: 83.3
|
|
| inkognit писал(а): |
|
Разрешаю Вам считать меня задротом.
|
Невелик грех Правда, я делаю немного по-другому: действительно важные данные, которые восстановить будет трудно, хранятся либо на серверах, находящихся под постоянным присмотром специалистов (почта на Гугле, исходники в системе контроля версий), либо на втором моём компьютере. Резервные копии тоже делаю на всякий случай, но очень иногда.
Но даже мой способ далеко не все берут на вооружение.
|
|
|
|
|
|
|
|
|
|
|
C нами с 09.04.2005
Репутация: 0.1
|
|
inkognit, да, с wine могут возникнуть проблемы, но опять же это всё не сложно решить.
rsnapshot довольно интересен, имея выделенный сервер под backup я хочу через него исполнять команды на удалённых машинах, делать снепшоты ФС, и получать консистентный инкрименент данных с откатом на определённые даты.
|
|
|
|
|
|
|
|
| |
|
|
