Windows vs. Linux , Продолжение

Цитата Guderian @ 26.10.10, 12:53

Категорически согласен. Но почему-то добрая половина девелоперов все равно стремятся воткнуть свои сервисы по дефолту от Local System Account. Какого ляда, например, его себе ставит MySQL? Тот же BIND. А доброй половине админов под винду пофигу под какой учеткой ходит тот или иной сервис. Их только вчера проапгрейдили из эникейщиков))

Да только вот под юниксом у тебя есть /etc/default, где ты прописываешь, от какого юзера запускать демона (или вообще в chroot его того), а под виндой, чтобы этот параметр изменить, без поллитры и ксивы MSCE не особо разберешься, куда там мышкой тыкать.

MySQL, очевидно, делает так для того, чтобы (рискну предположить) запуститься наверняка, и чтобы твой вчерашний эникейщик не бегал, закатывая глазки, по всей конторе с воплями «Почему оноооо у меняяаааа пермишен динааааааайд???!!!11».

Цитата Ho Im @ 26.10.10, 14:47

а под виндой, чтобы этот параметр изменить, без поллитры и ксивы MSCE не особо разберешься, куда там мышкой тыкать.

Прикреплённая картинка

Хм, а как мне создать юзера «mysql», чтобы только мог писать-читать в директорию с базами данных и логами, и больше ничего не мог в принципе? И чтобы обычный человек залогиниться не мог под ним?

В линаксе-то делается такое в пару команд, groupadd+useradd там, mkdir, chown, chmod и готово.

Цитата Ho Im @ 26.10.10, 14:47

Да только вот под юниксом у тебя есть /etc/default, где ты прописываешь, от какого юзера запускать демона (или вообще в chroot его того), а под виндой, чтобы этот параметр изменить, без поллитры и ксивы MSCE не особо разберешься, куда там мышкой тыкать.

Дешевая профанация. Мышкой - дабл-клик на сервисе, закладка Log on. В консоли - "sc config <ServiceName> obj=<AccountName> [password=<Password>]". В WMI - Win32_Service.Change(<account>,<password>).

Цитата Ho Im @ 26.10.10, 14:47

MySQL, очевидно, делает так для того, чтобы (рискну предположить) запуститься наверняка, и чтобы твой вчерашний эникейщик не бегал, закатывая глазки, по всей конторе с воплями «Почему оноооо у меняяаааа пермишен динааааааайд???!!!11».

Ну да, берем доки на офсайте:

Цитата

Step 9: Run The MySQL Service as a Limited User
By default, the MySQL server service runs as a privileged local system user. MySQL can be run as a limited user to restrict its capabilities and limit what a compromised MySQL server is capable of.

И дальше повествование, как настроить нормального юзера. Т.е. знать - знают, но реализовать не шмагли.

Цитата Ho Im @ 26.10.10, 16:18

Хм, а как мне создать юзера «mysql», чтобы только мог писать-читать в директорию с базами данных и логами, и больше ничего не мог в принципе? И чтобы обычный человек залогиниться не мог под ним?
В линаксе-то делается такое в пару команд, groupadd+useradd там, mkdir, chown, chmod и готово.

Мда... net user+net group, mkdir, cacls и готово.

Цитата Ho Im @ 26.10.10, 16:18

Хм, а как мне создать юзера «mysql», чтобы только мог писать-читать в директорию с базами данных и логами, и больше ничего не мог в принципе?

Руками. + Выдать права доступа только на те папки, куда нужно поиметь доступ.

Цитата MichSpar @ 26.10.10, 15:52

Прикреплённый файл: Прикреплённый файл Capture.JPG (89.04 Кбайт, скачиваний: 11)

А чего настроечки-то не доступны?

Цитата Мяут-Настоящий @ 26.10.10, 17:01

А чего настроечки-то не доступны?

Потомучта правов не хватило

Цитата Guderian @ 26.10.10, 16:47

И дальше повествование, как настроить нормального юзера. Т.е. знать - знают, но реализовать не шмагли.

Скорее, учитывая интеллектуальное большинство (признай, что в такой массе вендузятников, которую мы благодаря чей-то монополии имеем, большинство блистать умом и сообразительностью не будет, ввиду принципа Парето), не особо захотели. Это как у девки с идиотом, проще отдаться, чем полдня объяснять, почему она не хочет.

Мне не дает покоя еще одна странность, по докам из оффсайта MySQL, надо создавать юзера «с сильным паролем». В венде что — нет такой возможности, как в линаксе? Делаешь юзера без пароля (не с пустым паролем, а именно что без него), и кранты: seteuid на пользователя с рута еще сделать можно, а просто залогиниться — никак. Для пущей заткнутости аккаунта шелл еще выставить в /sbin/nologin.

Цитата Ho Im @ 26.10.10, 20:30

В венде что — нет такой возможности, как в линаксе? Делаешь юзера без пароля (не с пустым паролем, а именно что без него), и кранты: seteuid на пользователя с рута еще сделать можно, а просто залогиниться — никак. Для пущей заткнутости аккаунта шелл еще выставить в /sbin/nologin.

Прикреплённая картинка

Цитата Ho Im @ 26.10.10, 20:30

Скорее, учитывая интеллектуальное большинство (признай, что в такой массе вендузятников, которую мы благодаря чей-то монополии имеем, большинство блистать умом и сообразительностью не будет, ввиду принципа Парето), не особо захотели. Это как у девки с идиотом, проще отдаться, чем полдня объяснять, почему она не хочет.

Да ты и впрямь религиозный фанатик. Нормальному человеку не придет и в голову проталкивать идею сегрегации, что де между интеллектуальными способностями пользователя и ОС есть связь.

Цитата Ho Im @ 26.10.10, 20:30

Мне не дает покоя еще одна странность, по докам из оффсайта MySQL, надо создавать юзера «с сильным паролем». В венде что — нет такой возможности, как в линаксе? Делаешь юзера без пароля (не с пустым паролем, а именно что без него), и кранты: seteuid на пользователя с рута еще сделать можно, а просто залогиниться — никак. Для пущей заткнутости аккаунта шелл еще выставить в /sbin/nologin.

В винде без пароля - это без пароля. Запрещается юзеру вход по RDP, сетевой вход, локальный (как на пикче FullArcticFox) и т.п. (все вместе или какие-то по отдельности) при помощи политик безопасности, а не кодированием в паролях вроде "NoRemoteDesktop", "NoNetwork", NULL.

Цитата Ho Im @ 26.10.10, 20:30

В венде что — нет такой возможности, как в линаксе? Делаешь юзера без пароля (не с пустым паролем, а именно что без него), и кранты: seteuid на пользователя с рута еще сделать можно, а просто залогиниться — никак.

Цитата

The LocalService account is a predefined local account used by the service control manager. This account is not recognized by the security subsystem, so you cannot specify its name in a call to the LookupAccountName function. It has minimum privileges on the local computer and presents anonymous credentials on the network.
...
Note that this account does not have a password, so any password information that you provide in this call is ignored.

Цитата FullArcticFox @ 26.10.10, 21:18

Прикреплённый файл: Прикреплённый файл gpo.png (35.09 Кбайт, скачиваний: 32)

Это который вот так вот:
http://swnet.spb.ru/board/uploads/monthly_10_2010/post-3681-083805400%201288124128.gif
Да?

Добавлено 27.10.10, 19:12

Цитата Guderian @ 27.10.10, 06:35

Запрещается юзеру вход по RDP, сетевой вход, локальный (как на пикче FullArcticFox) и т.п. (все вместе или какие-то по отдельности) при помощи политик безопасности, а не кодированием в паролях вроде "NoRemoteDesktop", "NoNetwork", NULL.

В Unix за это отвечает PAM. Каждому сервису прописывается набор модулей аутентификации и их приоритеты - не обязательно даже пароль прописывать, можно прикрутиться к usb-устройству и т. д.

Цитата Guderian @ 27.10.10, 06:35

Да ты и впрямь религиозный фанатик. Нормальному человеку не придет и в голову проталкивать идею сегрегации, что де между интеллектуальными способностями пользователя и ОС есть связь.

А кто тебе говорит, что это моя точка зрения? Да если проверить существование юзера и набор его привилегий и в случае чего создать его — такое плевое дело, как ты пишешь, то я лично не вижу проблем в том, чтобы даже в инсталляторе такое заскриптовать. Почему в Sun (тогда еще) не потрудились — мне неизвестно, я высказываю предположение.

А ты, ей-богу, как маленький и как будто в больших энтерпрайзах не работал. Как будто не знаешь, как там бывает — все силы брошены на отлизывание работы InnoDB на новейшем спарке (где венды не было и не будет никогда), а два часа написать и еще пару часов потестировать мелкий, но полезный скриптик — нет ресурсов.

Цитата Мяут-Настоящий @ 27.10.10, 19:09

Это который вот так вот:
http://swnet.spb.ru/board/uploads/monthly_...01288124128.gif
Да?

Нашел старый как мир боян и щаслив?)

Цитата Мяут-Настоящий @ 27.10.10, 19:09

В Unix за это отвечает PAM. Каждому сервису прописывается набор модулей аутентификации и их приоритеты - не обязательно даже пароль прописывать, можно прикрутиться к usb-устройству и т. д.

Неужели наконец-то научились поддерживать смарт-карты? А то в винде это еще в прошлом тысячелетии было.

Цитата Ho Im @ 27.10.10, 20:32

А ты, ей-богу, как маленький и как будто в больших энтерпрайзах не работал. Как будто не знаешь, как там бывает — все силы брошены на отлизывание работы InnoDB на новейшем спарке (где венды не было и не будет никогда), а два часа написать и еще пару часов потестировать мелкий, но полезный скриптик — нет ресурсов.

Знаю. Только когда это делает вендописатель, то этот подонок должен сдохнуть, а когда сан, то они были просто в запарке))

Цитата Guderian @ 27.10.10, 21:27

а когда сан, то они были просто в запарке))

Я сан не оправдываю. Кстати, ты заметил — чем крупнее контора, тем сильнее этот рак развит? Недаром бывшые сановцы из оракла валом валят. Видимо, в сане еще цветочки были...
И именно поэтому я не работаю в большой конторе.

Цитата Guderian @ 27.10.10, 21:27

Неужели наконец-то научились поддерживать смарт-карты? А то в винде это еще в прошлом тысячелетии было.

Да вроде как всегда было. В каком-то даже мохнатом 1998 году уже широко использовалось, значит, и раньше было тоже.