Windows vs Linux

[_serg_]

Может быть ты сможешь доступно объяснить астроному, не опускаясь при этом до его уровня, почему линукс не обращает внимания на права пользователей винды?

1. винда пока понимает 2 файловых системы: фат и нтфс. в фате прав нет вообще. в системе ntfs нет понятия прав в том виде, в котором это можно использовать даже в самой винде.
2. даже если присоединять линуксовую ветку файловой системы, доступ к девайсу имеет только рут, в отношении которого ограничения "прав доступа" не существуют

Сколько скриншотов тебе надо чтобы ты посчитал их достаточным доказательством?

"скриншот" я сам могу нарисовать
что бы обломить пацана, нужно ткнуть его носом в документацию

Но аргументы астронома просто убивают на месте

вообще-то он частично прав
в винде создание простого пользователя есть его личная инициатива
по дефолту после установки системы юзер оказывается залогиненным под админом

поскольку аналога суду в винде небыло до висты, а пораженный в правах пользователь постоянно сталкивается с проблемами при установке приложений (особенно игрушек, требующих установки ДРМ, которым нужны админские права), когда ему постоянно приходится перелогиниваться для установки апдейтов к линейджу, еверквесту или вову или для обновлений браузера и т.п. - неудивительно, что большинство юзеров, пытающихся вести безопасную жизнь под виндой, просто плюет на все права и остается под админом. не говоря уже о том, что большинство домохозяек вообще не понимают что такое права в системе и как в винде стояло - вход по дефолту под админом без пароля - так и живут себе в эпохе винды-95

 

[astronom]

Пусть бы астроном уточнял для каких условий он делает вот такие заявы:

При установке системы. Понятно что без них никак, но обычно люди даже и не задумываются над вопросом самоограничения прав.
А насчет создания учетной записи, то согласен, права там далеко не админские.

 

[astronom]

"Нет. уж лучше вы к нам"

 

[@rtem]

Для: Pasha

ыыы

А еще в линуксе есть пасхальные яйца. Запусти
rm -rf /

ну тут немножко так

sudo rm -rf /

я конечно стороник Linux но всеравно скажу

А у Windows права администратора предоставляются по умолчанию

права даются только первому пользователю который устанавливает систему. следующий которого будешь создавать будет обычным пользователем. Так что по умолчанию никто тебе права админа не даст.

Теперь о Linux в Ubuntu, Debian, Kubuntu система такая же, пользователь который устанавливает систему имеет права администратора системы, а которого создаешь потом имеет права обычного пользователя.

 

[_serg_]

Теперь о Linux в Ubuntu, Debian, Kubuntu система такая же

да ну? а мне всегда казалось, что по дефолту в убунте рут отключен

serg@****:~$ uname -a
Linux **** 2.6.22-14-server #1 SMP Sun Oct 14 23:34:23 GMT 2007 i686 GNU/Linux
serg@****:~$ id
uid=1001(serg) gid=1001(serg) groups=4(adm),106(fuse),110(admin),1001(serg)...
serg@****:~$ sudo cat /etc/shadow | grep root
[sudo] password for serg:
root:!:13806:0:99999:7:::

1001-й уид - 1-й юзер в системе
ubuntu 7.10

 

[Pasha]

<!--QuoteBegin-_serg_+15:02:2008, 14:36 -->
<span class="vbquote">(_serg_ @ 15:02:2008, 14:36 )</span><!--QuoteEBegin-->1. винда пока понимает 2 файловых системы: фат и нтфс. в фате прав нет вообще. в системе ntfs нет понятия прав в том виде, в котором это можно использовать даже в самой винде.
2. даже если присоединять линуксовую ветку файловой системы, доступ к девайсу имеет только рут, в отношении которого ограничения "прав доступа" не существуют

[snapback]98284" rel="nofollow" target="_blank[/snapback]​

[/quote]
1. В ntfs права реализованы в виде ACL. Это общий вид прав в винде. И именно в этом виде выставляются права на все объекты - ключи реестра, пайпы, сертификаты, принтеры и прочие девайсы, даже на endpoint-ы сервисов. И прямо в таком виде они в самой винде и используются. Про фат и дос все уже давно забыли.
2. В винде доступ к девайсу есть только у админа. Но даже ему это можно запретить.
<!--QuoteBegin-_serg_+15:02:2008, 14:36 -->
<span class="vbquote">(_serg_ @ 15:02:2008, 14:36 )</span><!--QuoteEBegin-->что бы обломить пацана, нужно ткнуть его носом в документацию

[snapback]98284" rel="nofollow" target="_blank[/snapback]​

[/quote]
[snapback]98284" rel="nofollow" target="_blank[/snapback]</div>[/quote]Был и есть runas, и в гуи, и в консоли.
Про домохозяек - ветка про серверные системы, а не про сравнение линукса в руках админа и винды в руках домохозяйки. Линукс домохозяйка если и поставит, то сидеть в нем будет под рутом.

 

[@rtem]

поскольку аналога суду в винде небыло до висты

есть такая команда Запуск от имени, [Модератор: не надо переходить границ]

да ну? а мне всегда казалось, что по дефолту в убунте рут отключен

а теперь сам почитай документацию по Убунту
учетка рута есть просто пароль нулевой, она там включена

sudo passwd root

и все

помимо этого есть там такое понятие как admin, раз ты такой умный попробуй в убунту создать юзера с ником admin
сначала сам матчасть выучи,

 

[_serg_]

В ntfs права реализованы в виде ACL. Это общий вид прав в винде. И именно в этом виде выставляются права на все объекты - ключи реестра, пайпы, сертификаты, принтеры и прочие девайсы, даже на endpoint-ы сервисов. И прямо в таком виде они в самой винде и используются.

ага - я это и имел ввиду
нет реестра - нет прав

есть такая команда Запуск от имени, откройте глаза прежде чем что то вякать

мож научите меня ей пользоваться? ха-ха
например, установите сталкер или готику или последнюю цивилизацию (один коллега по работе сына безопасности пытался учить)

а теперь сам почитай документацию по Убунту
учетка рута есть просто пароль нулевой, она там включена

ядро линукса требует "uid=0(root) gid=0(root) groups=0(root)"
этого достаточно

sudo passwd root
и все

вообще-то речь шла о том, что в винде нужно приложить усилия, что бы ограничить свои права, а в линуксах наоборот - повысить

помимо этого есть там такое понятие как admin, раз ты такой умный попробуй в убунту создать юзера с ником admin

ну естественно есть
первый юзер принадлежит этой группе - что бы мог через суду что-то делать

сначала сам матчасть выучи, а потом рот открывай

так как там насчет матчасти?

Ссылка скрыта от гостей

и дальше по ссылкам.

вот это другое дело
жаль только что астроном уже отмахался
а то бы ему засчитали слив

 

[@rtem]

мож научите меня ей пользоваться? ха-ха

курс как пользоваться командой Запуск от имени.

зажимаем кнопку Shift и жмем правой кнопкой мышки на интересующем нас файле (типа setup), появляется контекстное меню, второй пункт сверху и есть Запуск от имени.
Если локальным администратором то
Имя пользователя: comp\Администратор
Пароль : ******************

Если администратор домена (пользователь входит в группу администраторы)то
Имя пользователя: имя_домена\имя_пользователя
Пароль: ********************

Все таки поучи матчасть

вообще-то речь шла о том, что в винде нужно приложить усилия, что бы ограничить свои права, а в линуксах наоборот - повысить

какие усилия, первый пользователь который создается имеет права админа и всё все остальные обычные юзеры. в линуксе (Ubuntu, Debian) тоже такой прикол, пользователь который устанавливает систему получает права админа, все остальные обычные пользователи.

и там и там есть супер пользователи, в винде Администратор в линуксе root. Когда ставишь винду мона на учетку Администратора установить пароль это и есть аналог рута в линуксе. то что в убунту у него по дефолту нулевой пароль так это способ реализации системы, а именно убунту, а не всего линукса. в дебиане при установке задается пароль рута, а пользователь который ставил систему имеет права ее администрировать

 

[_serg_]

зажимаем кнопку Shift и жмем правой кнопкой мышки на интересующем нас файле (типа setup), появляется контекстное меню, второй пункт сверху и есть Запуск от имени

я знаю
но ДРМ (кстати устанавливающийся последовательно) не встанет и игрушка не пойдет
проверено

З.Ы.
кстати, а может это зависит от винды? одмины виндов - сталкивался кто с установкой этой ботвы из-под юзера? или все под админами сидят?

 

[Pasha]

<!--QuoteBegin-_serg_+15:02:2008, 16:22 -->
<span class="vbquote">(_serg_ @ 15:02:2008, 16:22 )</span><!--QuoteEBegin-->ага - я это и имел ввиду
нет реестра - нет прав

[snapback]98330" rel="nofollow" target="_blank[/snapback]​

[/quote]
Зато я совсем не то имел в виду. Не права в реестре, а права НА ветки реестра, которые работают точно так же, как права на файлы в NTFS. В винде все разделение прав построено на ACL, а ты утверждаешь что "в системе ntfs нет понятия прав в том виде, в котором это можно использовать даже в самой винде".
В линухе реестра вообще нет. И именно поэтому нет прав в смысле "Policy" а не в смысле "Access Rights". Права, которые хранятся в реестре - это не права доступа, это права юзеров на совершение определенных операций. И их аналогов в линуксе или нет, или они вписаны в куче файлов в ect, или они вообще никак не ограничиваются. Попробуй, например, в убунте запретить конкретному юзеру создавать симлинки. Или разрешить ему выключать машину с локальной консоли и при этом запретить выключать удаленно.
<!--QuoteBegin-_serg_+15:02:2008, 16:22 -->
<span class="vbquote">(_serg_ @ 15:02:2008, 16:22 )</span><!--QuoteEBegin-->мож научите меня ей пользоваться? ха-ха
например, установите сталкер или готику или последнюю цивилизацию (один коллега по работе сына безопасности пытался учить)

[snapback]98330" rel="nofollow" target="_blank[/snapback]​

[/quote]Все вполне нормально ставится и запускается. Игрушки иногдя наивно пишут что-то в current user, укажи в runas мегаопцию /env чтобы профайл не менялся.
<!--QuoteBegin-_serg_+15:02:2008, 16:22 -->
<span class="vbquote">(_serg_ @ 15:02:2008, 16:22 )</span><!--QuoteEBegin-->вообще-то речь шла о том, что в винде нужно приложить усилия, что бы ограничить свои права, а в линуксах наоборот - повысить

[snapback]98330" rel="nofollow" target="_blank[/snapback]​

[/quote]В винде не под админом права и так ограничены по самое немогу. Куда уж больше?

 

[@rtem]

я знаю
но ДРМ (кстати устанавливающийся последовательно) не встанет и игрушка не пойдет
проверено

а если дать тому пользователю права на папку с игрушкой как полный доступ!
значит
свойства папки с игрушкой, вкладка безопасность, там добавляешь нужного пользователя и даешь ему полный доступ на эту папку и все игрушка запустится
ПРОВЕРЕНО!

 

[Pasha]

<!--QuoteBegin-_serg_+15:02:2008, 16:41 -->
<span class="vbquote">(_serg_ @ 15:02:2008, 16:41 )</span><!--QuoteEBegin-->но ДРМ (кстати устанавливающийся последовательно) не встанет и игрушка не пойдет

[snapback]98337" rel="nofollow" target="_blank[/snapback]​

[/quote]Сталкер продается без DRM (через steam), цивилизация ставится под runas. И вообще, всякие старфорсы - неимоверно кривые вещи. Они и под админом не всегда ставятся.


Для: sax_ol
Кстати, да, по работе приходится сидеть под локальным админом. Иначе злобная винда не дает отлаживать.

 

[_serg_]

а ты утверждаешь что "в системе ntfs нет понятия прав в том виде, в котором это можно использовать даже в самой винде"

а понил - поясняю
в нормальных файловых системах права на файлы прописаны в описании файла (грубо говоря, в его заголовке). поэтому, если мы сделаем маунт чужому винту с сохранением прав, то получим файлы с юзерами и правами. (возможно, слегка перекосяченные для некоторых uid > 0, если юзаем чужой дистрибутив и некоторых uid > 1000 если тот же самый)
в винде, (придется перегружать систему? хы-хы) - получим файло, которое находится в нашем полном распоряжении. ну как минимум на чтение. записывать не пробовал.
тут хочу заметить, что берем отдельную тачку, а не корпоративную рабочую станцию.

Права, которые хранятся в реестре - это не права доступа, это права юзеров на совершение определенных операций.

право на действие - это костыль, призванный ограничить самоуправство прежнего увлечения мелкософтом коллбеками. и ничего больше

И их аналогов в линуксе или нет, или они вписаны в куче файлов в ect, или они вообще никак не ограничиваются.

нет - их в линуксе вообще нет
и не надо заходить на религиозную почву
еще раз повторяю - логика прав у позикса и вин - совершенно разная.
могу поговорить отдельно про права в никсах и линуксах. но сравнивать зеленое и теплое - не имеет смысла

Попробуй, например, в убунте запретить конкретному юзеру создавать симлинки.

алиас ему прописать на ln и все

Или разрешить ему выключать машину с локальной консоли и при этом запретить выключать удаленно.

ну какой-нить суидный скриптец, который делает ексит, если запущен в удаленном терминале

2 последних примера я намеренно привел, что бы показать насколько разные в винде и линусах идеологии управления правами.
в линуксе действие - опреляется правами файла, который это действие производит.
а в винде - средствами операционной системы через обращение к реестру

Все сидят под своими профилям, но с правами локальных админов, работать понимаш нада. smile.gif
я не сисадмин, если что ...

вот именно - к сожалению, это обычная ситуация
под ограниченными учетками сидит только офисный планктон
айтишниками без локального админа никуда
в крупных конторах сети, где юзера сидят локальными админами, обычно выносят в отдельную изолированную сеть со своим инетом, своими доменами и серверами

Сталкер продается без DRM (через steam)

стандартный двд - старфорс

цивилизация ставится под runas

лично ставил лицензию - пока не залогинился под админом, у пацана ничего не установилось
хотя, вникать в этот пустяк неохота - будем считать что возможно, дело было в кривом дистрибе или руках

 

[Pasha]

<!--QuoteBegin-_serg_+15:02:2008, 17:30 -->
<span class="vbquote">(_serg_ @ 15:02:2008, 17:30 )</span><!--QuoteEBegin-->а понил - поясняю
в нормальных файловых системах права на файлы прописаны в описании файла (грубо говоря, в его заголовке). поэтому, если мы сделаем маунт чужому винту с сохранением прав, то получим файлы с юзерами и правами. (возможно, слегка перекосяченные для некоторых uid > 0, если юзаем чужой дистрибутив и некоторых uid > 1000 если тот же самый)
в винде, (придется перегружать систему? хы-хы) - получим файло, которое находится в нашем полном распоряжении. ну как минимум на чтение. записывать не пробовал.

[snapback]98358" rel="nofollow" target="_blank[/snapback]​

[/quote]В ntfs права прописаны в описании файла, а не в реестре, как ты думаешь. А привязка их по guid позволяет назначать права доменным аккаунтам. То, что в линухе права сохраняются - это просто следствие идентификации пользователя по uid и отсутствия родной поддержки доменной авторизации.
<!--QuoteBegin-_serg_+15:02:2008, 17:30 -->
<span class="vbquote">(_serg_ @ 15:02:2008, 17:30 )</span><!--QuoteEBegin-->алиас ему прописать на ln и все

[snapback]98358" rel="nofollow" target="_blank[/snapback]​

[/quote]А он тупо вызовет symlink и все.
<!--QuoteBegin-_serg_+15:02:2008, 17:30 -->
<span class="vbquote">(_serg_ @ 15:02:2008, 17:30 )</span><!--QuoteEBegin-->ну какой-нить суидный скриптец, который делает ексит, если запущен в удаленном терминале

[snapback]98358" rel="nofollow" target="_blank[/snapback]​

[/quote]В винде это тоже скриптец. Просто он стандартный, вживленный в винду, его гуглить не надо.
<!--QuoteBegin-_serg_+15:02:2008, 17:30 -->
<span class="vbquote">(_serg_ @ 15:02:2008, 17:30 )</span><!--QuoteEBegin-->2 последних примера я намеренно привел, что бы показать насколько разные в винде и линусах идеологии управления правами.
в линуксе действие - опреляется правами файла, который это действие производит.
а в винде - средствами операционной системы через обращение к реестру

[snapback]98358" rel="nofollow" target="_blank[/snapback]​

[/quote]В винде права пользователей на запуск приложений работают точно так же как и в линухе, без обращения к реестру. Просто некоторые действия, которые в линухе выполняются только приложениями, в винде можно выполнить только вызовом системных функций. Вот и приходится вводить на них отдельные права.
<!--QuoteBegin-_serg_+15:02:2008, 17:30 -->
<span class="vbquote">(_serg_ @ 15:02:2008, 17:30 )</span><!--QuoteEBegin-->стандартный двд - старфорс

[snapback]98358" rel="nofollow" target="_blank[/snapback]​

[/quote]Запусти его первый раз под админом, пусть поставит сервис. Не думаю что под линуксом со старфорсом меньше проблем Авторы у sf криворукие. SecuROM, например, прекрасно работает не под админом.

 

[Pasha]

<!--QuoteBegin-sax_ol+15:02:2008, 18:30 -->
<span class="vbquote">(sax_ol @ 15:02:2008, 18:30 )</span><!--QuoteEBegin-->Почему к сожалению, просто лень настраивать спец группы, права и т.д. и т.п. (я так думаю)

[snapback]98366" rel="nofollow" target="_blank[/snapback]​

[/quote]У меня есть уважительная причина - отлаживать IIS (Network Service) может только локальный администратор.

 

[@rtem]

может только локальный администратор

а если сеть доменная, то сделай на машине локальную учетку точно такую же, какую используешь при доменной авторизации и занеси ее в группу локальный админ, и тогда ты на машине админ, а в сети обычный юзер.

 

[_serg_]

То, что в линухе права сохраняются - это просто следствие идентификации пользователя по uid и отсутствия родной поддержки доменной авторизации.

не будем забывать, что в мире линуксов поддержка доменной авторизации представлена в гораздо большем колличестве вариантов, чем под виндой
к сожалению, самые гибкие и масштабируемые решения здесь платные. из бесплатных аналогов АД можно назвать только новелловский eD и вот еще новую ее переделку от редхеда - непомню как называется
кстати говоря, АД - внаглую спертый ЛДАП
в линуксе нет родного и неродного. это система, которую можно собирать так, как хочет рут. его вообще можно собрать так, что каждый фолдер на своей машине будет

А он тупо вызовет symlink и все

да лан - я свою мысль ясно высказал
можно просто задать для него список разрешенных команд (в т.ч. и алиасов)

В винде это тоже скриптец. Просто он стандартный, вживленный в винду, его гуглить не надо.

ха-ха
нерут не сможет вырубить удаленно машину с удаленки по дефолту
видимо я непонял, что имеется ввиду
впрочем, для локального юзера тоже можно запретить операции с выключением или какой-нить перезагрузкой
не пытайтесь сравнить гибкость винды и *никсов

В винде права пользователей на запуск приложений работают точно так же как и в линухе, без обращения к реестру.

похоже, но не так

Просто некоторые действия, которые в линухе выполняются только приложениями, в винде можно выполнить только вызовом системных функций. Вот и приходится вводить на них отдельные права.

еще раз говорю не нужно сравнивать теплое с зеленым
тем более, что мелкософт сама пытается отойти от практики использования коллбеков в системных вызовах

Не думаю что под линуксом со старфорсом меньше проблем

это не линуксовое приложение
или, может, линуксовые пакеты влегкую в винде запускаются? в таком случае я сильно недооценивал эту ось

Авторы у sf криворукие

а это проблема не программеров sf, а микрософта
впрочем, сейчас они жестко отвязали юзера от админа и 20% виндовых программ перестали работать на висте

А в линуксе разве не так? Сам видел много раз, сидят админы под своими профилями, а чуть что у них всегда еще один стол (или как там его) открыт, и там они под su колбасятся, или под рутом.

у меня такие админы долго не задерживаются
не смог освоить суду - пошел искать новую работу
за оставленный открытый терминал даже на локальную машину даю по ушам. если на сервер - последствия будут еще сурьезнее

Ну так и какая в пень разница? Или мы не сечем в этом?, - просветите.

пообщайтесь с админом серьезной конторы - банка или финансовой компании...
читал вот - в лукойле, например, при входе даже у посетителей, не говоря уже о персонале, - отнимают всю электронику - даже мп3 плееры, не говоря уже о телефонах, кпк, флешках, фрихендсах...
компы там - терминалы. инфу на свой акк легче залить, чем ее оттуда вынуть
а вы тут про локальных админов...

и тогда ты на машине админ

да так обычно и делают
вот только локальный-то все-равно админ
а если еще и браузер интренет-эксплорер...
кстати, есть такая байка - чем больше в сети локальных админов, тем сильнее админ любит пиво

 

[@rtem]

ее переделку от редхеда - непомню как называется

Fedora Directory

да так обычно и делают
вот только локальный-то все-равно админ
а если еще и браузер интренет-эксплорер...
кстати, есть такая байка - чем больше в сети локальных админов, тем сильнее админ любит пиво

ну так на локальной машине пожалуйста но на сервер если прав нет то все равно не зайти. (это если есть домен и АД и политики как в моем случае, программист на виртуалке локальный админ но не более, в сети у него права обычного юзера) а поповоду браузера, так это интернет раздачу надо нормально организовать, чтобы не было связи админ ты или юэер.

 

[Pasha]

<!--QuoteBegin-_serg_+18:02:2008, 10:16 -->
<span class="vbquote">(_serg_ @ 18:02:2008, 10:16 )</span><!--QuoteEBegin-->да лан - я свою мысль ясно высказал
можно просто задать для него список разрешенных команд (в т.ч. и алиасов)

[snapback]98520" rel="nofollow" target="_blank[/snapback]​

[/quote]symlink - не команда, это функция unistd.h. Интересно, как ты ее собираешься запретить.
<!--QuoteBegin-_serg_+18:02:2008, 10:16 -->
<span class="vbquote">(_serg_ @ 18:02:2008, 10:16 )</span><!--QuoteEBegin-->ха-ха
нерут не сможет вырубить удаленно машину с удаленки по дефолту

[snapback]98520" rel="nofollow" target="_blank[/snapback]​

[/quote]В винде не-руту можно дать права на выключение с удаленки. Все одинаково гибкое, все дружно друг у друга воруют принципы и идеи.
<!--QuoteBegin-_serg_+18:02:2008, 10:16 -->
<span class="vbquote">(_serg_ @ 18:02:2008, 10:16 )</span><!--QuoteEBegin-->а это проблема не программеров sf, а микрософта

[snapback]98520" rel="nofollow" target="_blank[/snapback]​

[/quote]То, что sf ставит левые драйвера - проблема программеров sf. По линухом sf нет, и проблем нет. И игр нормальных тоже нет Ветка про серверные оси, проблемы со старфорсом к ним никаким боком не относяться.