Windows vs Linux

_serg_ · 18.02.2008

symlink - не команда, это функция unistd.h

ну если уж речь пошла о компиляции, то локальному пользователю можно вообще запретить запуск приложений
или я не понял в чем смысл обсуждения? в том что пила все-таки не пилит железо?

а вообще, ограничивать такую вещь как симлинк глупо - это очень гибкая штука, (которой в винде, кстати, до сих пор нет). если уж так хочется ограничить доступ юзера к каким-то веткам ФС, то делается это на уровне прав доступа в директорию

В винде не-руту можно дать права на выключение с удаленки

в винде (по крайней мере до выхода висты) дефолтный локальный юзер вообще неявно обладает системными правами
и ваще мелкософт упорно игнорирует проблемы безопасности своего гуя
именно это их отношение к проблемам своих клиентов меня раздражает (речь идет не об оси, а об их отношении к делу)

З.Ы.
хотя, это и неудивительно - c учетом

Ссылка скрыта от гостей

(примерно каждый 20-й)

Pasha · 18.02.2008

(_serg_ @ 18:02:2008, 14:02 )ну если уж речь пошла о компиляции, то локальному пользователю можно вообще запретить запуск приложений
или я не понял в чем смысл обсуждения? в том что пила все-таки не пилит железо?
а вообще, ограничивать такую вещь как симлинк глупо - это очень гибкая штука, (которой в винде, кстати, до сих пор нет). если уж так хочется ограничить доступ юзера к каким-то веткам ФС, то делается это на уровне прав доступа в директорию

[snapback]98590" rel="nofollow" target="_blank[/snapback]

[/quote]
Конкретный вопрос - можно ли в линуксе запретить пользователю создавать симлмнки? Не запретить вызывать ln, не запретить запускать вообще все подряд, не запретить gcc, а запретить именно само действие - создание симлинка.
Речь о том, что почти все полиси в винде (те самые, которые хранятся в реестре, а не в виде ACL) - это права не действия, не имеющие до своего выполнения аналогов в виде файлов/команд/алиазов. А в линуксе они или явно привязаны к файлам, или просто не имеют аналогов, как запрет на создание симлинков. Хотя, если подходить с точки зрения линуксойда - то все, чего нет в линуксе - это глупо и бесполезно. Ведь в линуксе есть все

(_serg_ @ 18:02:2008, 14:02 )в винде (по крайней мере до выхода висты) дефолтный локальный юзер вообще неявно обладает системными правами

[snapback]98590" rel="nofollow" target="_blank[/snapback]

[/quote]В серверных винде дополнительный локальный юзер вообще не создается. А даже если создается - то это никак не проблемы безопасности GUI. Ставь 2008-ю в Core, там даже гуи нет.

(_serg_ @ 18:02:2008, 14:02 )примерно каждый 20-й

[snapback]98590" rel="nofollow" target="_blank[/snapback]

[/quote]Самые рьяные гомофобы - латентные гомосексуалисты.

_serg_ · 18.02.2008

Конкретный вопрос - можно ли в линуксе запретить пользователю создавать симлмнки?

а зачем? просто потому что так хочется?
если так хочется это сделать, то ввести ограничения на разрешенный набор команд для юзера (ну или запрещенный)
но я не могу представить себе для чего это надо. обычно проблемы такого рода решаются выставлением соответствующих прав доступа - симлинк ни к чему не обязывает систему. это что-то типа юзерского сокращения для "cd /абсолютный/путь" - ничего страшного в этом нет. если целевая директория закрыта для пользователя, то симлинк не поможет.
имхо, неудачный пример для "можно ли"
ответ: "нужно-ли"

Ставь 2008-ю в Core, там даже гуи нет

если там ихний повер-шелл, то разницы никакой
кстати, раз уж речь зашла о 2008-й - сделали там наконец-то возможность одновременной работы нескольких юзеров? или все так-же уныло как и раньше?

Pasha · 18.02.2008

(_serg_ @ 18:02:2008, 17:00 )а зачем? просто потому что так хочется?

[snapback]98625" rel="nofollow" target="_blank[/snapback]

[/quote]Все хранимые в реестре настройки безопасности - это вот такие вот "а зачем это". Если ты ими не пользуешься, то почему тебя так напрягает факт, что они хранятся в реестре, а не в туевой хуче текстовых файлов?

(_serg_ @ 18:02:2008, 17:00 )если там ихний повер-шелл, то разницы никакой
кстати, раз уж речь зашла о 2008-й - сделали там наконец-то возможность одновременной работы нескольких юзеров? или все так-же уныло как и раньше?

[snapback]98625" rel="nofollow" target="_blank[/snapback]

[/quote]Там просто консоль сервера. Даже дотнета нет. Как раз для фанатов поубивать свое время решая давно решенные задачи.

_serg_ · 18.02.2008

Если ты ими не пользуешься, то почему тебя так напрягает факт, что они хранятся в реестре, а не в туевой хуче текстовых файлов?

так мелкософт сама от реестра отказывается. нафига его защищать?
а реестр это прежде всего бездарно сожранная оперативка. в то время как конфиг грузится в память только тот, который надо
а особый фетиш через текстовый терминал править этот самый реестр - когда канал к удаленному серверу просто просел. ну или там система находится под легким досом. ибо через радмин безмазняк.
и ваще у меня складывается впечатление, что обсуждение с темой симлинка - разговор немого с глухим. один пытается привести пример проблемы, которой другой не видит.
ну хранятся настройки в реестре и чо? в линуксах тоже можно конфиги удаленно хранить. более того, можно сделать так, что и юзерские и системные профайлы будут на удаленном сервере храниться, в то время, как весь остальной фарш будет на локальной тачке доступен. кстати, в этом случае принцип "have a boot - have a root" для такой машины непрокатывает. в отличие от винды - где единственный способ защиты инфы - шифрование винта.

Как раз для фанатов поубивать свое время решая давно решенные задачи.

в смысле?

Pasha · 18.02.2008

(_serg_ @ 18:02:2008, 17:58 )так мелкософт сама от реестра отказывается. нафига его защищать?
а реестр это прежде всего бездарно сожранная оперативка. в то время как конфиг грузится в память только тот, который надо
а особый фетиш через текстовый терминал править этот самый реестр - когда канал к удаленному серверу просто просел. ну или там система находится под легким досом. ибо через радмин безмазняк.

[snapback]98635" rel="nofollow" target="_blank[/snapback]

[/quote]И сколько же бесценной оперативки отъедает в винде реестр? Да браузер при отображении этого форму больше есть. В разы.
Regeditor, кстати, вполне нормально работает c удаленным компом, ничуть не медленнее чем текстовый редактор в консоли. И я не вполне представляю себе ситуацию, когда приходится под досом что-то править прямо в реестре.

(_serg_ @ 18:02:2008, 17:58 )ну хранятся настройки в реестре и чо? в линуксах тоже можно конфиги удаленно хранить. более того, можно сделать так, что и юзерские и системные профайлы будут на удаленном сервере храниться, в то время, как весь остальной фарш будет на локальной тачке доступен. кстати, в этом случае принцип "have a boot - have a root" для такой машины непрокатывает. в отличие от винды - где единственный способ защиты инфы - шифрование винта.

[snapback]98635" rel="nofollow" target="_blank[/snapback]

[/quote]То, что ты не знаешь как в винде хранить настройки на удаленном сервере, еще не значит что это сделать нельзя. Гугл по Roaming Profile.

(_serg_ @ 18:02:2008, 17:58 )и ваще у меня складывается впечатление, что обсуждение с темой симлинка - разговор немого с глухим. один пытается привести пример проблемы, которой другой не видит.

[snapback]98635" rel="nofollow" target="_blank[/snapback]

[/quote]А у меня складывается впечатление, что убежденным линуксойдам просто нравится решать проблемы через самописные скрипты и расстановку прав на файлы. Ну нет в линуксе запрета симлинков. Нельзя запретить доступ с CDROM удаленно залогиненным юзерам. Нельзя запретить дебаггинг конкретному юзеру. Если у тебя такие проблемы не возникали, еще не значит что они не возникают у других - ведь по чьей-то просьбе MS наплодил таких меганастроек.

(_serg_ @ 18:02:2008, 17:58 )в смысле?

[snapback]98635" rel="nofollow" target="_blank[/snapback]

[/quote]В том смысле что PowerShell - очень удобная вещь. Если хорошо знаешь .net.

astronom · 18.02.2008

а не в туевой хуче текстовых файлов?

Да, это не всегда удобно. Причем, можно запросто удалить или подкорректировать как-нибудь своеобразно один из этих файлов и получить при следующем старте системы большой "Привет" :huh:

_serg_ · 19.02.2008

И сколько же бесценной оперативки отъедает в винде реестр?

зависит от истории установок программ

Да браузер при отображении этого форму больше есть. В разы.

невсегда
кроме того, браузер можно выключить и освободить память

И я не вполне представляю себе ситуацию, когда приходится под досом что-то править прямо в реестре.

а я отлично представляю
когда на моем хостинге почти месяц досили один сайт (атаками по 2-3 дня с суточным перерывом), канал был забит так, что хостеру приходилось арендовать чужие. вот мне админы виндов понарасказывали веселых историй...

То, что ты не знаешь как в винде хранить настройки на удаленном сервере, еще не значит что это сделать нельзя. Гугл по Roaming Profile.

бесполезно рассуждать на эту тему с человеком, который, по-видимому, в жизни не хачил на одной машины

А у меня складывается впечатление, что убежденным линуксойдам просто нравится решать проблемы через самописные скрипты и расстановку прав на файлы.

самописные скрипты пишутся раз в жизни, а большинство готовых инструментов подставляется вместе с продуктом - папочка share.
а политику прав на файлы пока что еще никому не удалось переплюнуть
нужно просто поработать с обеими системами, чтобы сравнить эти подходы

Ну нет в линуксе запрета симлинков.

а вы вообще что курите? если задаться этой идиотской целью запретить симлинк - запретить юзеру вызывать ln. хочется большего - делай ему песочницу. chroot, jail, виртуальную машину - вариантов туча.
запретить симлинк в линуксах это как запретить ветку реестра в винде.

Нельзя запретить доступ с CDROM удаленно залогиненным юзерам.

это че имеется ввиду?

Нельзя запретить дебаггинг конкретному юзеру.

а зачем?

Да, это не всегда удобно. Причем, можно запросто удалить или подкорректировать как-нибудь своеобразно один из этих файлов и получить при следующем старте системы большой "Привет"

вот это типичный взгляд на комп пользователя винды
если что-то не работает - переставляем систему
а вот линуксоид либо будет смотреть логи (если система работает), либо загрузится в сейф-моде или с ливсиди и поправит конфиг, что бы все работало
а чтобы конфиги не удалялись, их хранят на флешке, например. причем разные - заточенные под свои нужды. ибо дефолтный конфиг всегда доступен в xxx.conf.default

@rtem · 19.02.2008

вот это типичный взгляд на комп пользователя винды
если что-то не работает - переставляем систему

а помоему это типичный взгляд не спеца и все, не знаю у меня винда 2003 как поставили так и работает ниразу не перебивали, FreeBSD вообще работает с далеких 90-х обновляли только и все, вот уже около года на Ubuntu сервер крутится тоже полет нормальный, так что тут о том, что виндавозники сразу винду перебивают, а линуксоиды такого не делают говорить глуппо. Винду вовсе не обязательно перебивать если что то не работает. (говорю только за сервеную, потому что на практике десктопную лучше перебить, чтобы потом меньше было заморочек, это мое личное мнение)

Pasha · 19.02.2008

(_serg_ @ 19:02:2008, 10:51 )зависит от истории установок программ
...
невсегда
кроме того, браузер можно выключить и освободить память

[snapback]98704" rel="nofollow" target="_blank[/snapback]

[/quote]Вообще-то винда уже давно не загружает реестр, а просто мапит его в память. И тратит при этом 4 метра на реестр, и 16 на весь System hive.
[snapback]98704" rel="nofollow" target="_blank[/snapback]</div>[/quote]А линуксовые сервера у того же хостера отлично работали? Не верю (с). Мне вот тоже линуксовые админы порассказали историй, и чо?

(_serg_ @ 19:02:2008, 10:51 )бесполезно рассуждать на эту тему с человеком, который, по-видимому, в жизни не хачил на одной машины

[snapback]98704" rel="nofollow" target="_blank[/snapback]

[/quote]О мегагуру, хачащий по сотне машин в день, я преклоняюсь пред тобой. Да ты о roaming profile узнал из моей мессаги, как с тобой можно о чем-то рассуждать, если ты в винде кроме переустановки ничего не умеешь делать?
Складывается впечатление, что ты просто винду готовить не умеешь, потому она тебе и не нравится. И никогда не работал админом в девелоперской конторе, иначе не возникали бы вопросы "а зачем запрещать дебаггинг".
Я ведь не утверждаю, что винда как серверная система лучше линуха. Нужно быть извращенцем, чтобы держать связку апач+php+mysql под виндой. Просто есть вещи, которые под линуксом лучше вообе не пытаться поднять, например, хоть сколько-нибудь распределенные системы под .net. Ты никогда не сталкивался с необходимостью, например, разрешить всем приложениям производителя ZZZ доступ только по http, и только к

Ссылка скрыта от гостей

и

Ссылка скрыта от гостей

. Поэтому у тебя и возникают вопросы "а зачем"? А я сталкивался. И не совсем понимаю, как это можно сделать выставлением прав на файлы.

_serg_ · 19.02.2008

винда уже давно не загружает реестр, а просто мапит его в память. И тратит при этом 4 метра на реестр, и 16 на весь System hive

ну я по своим ХР сужу

А линуксовые сервера у того же хостера отлично работали? Не верю (с). Мне вот тоже линуксовые админы порассказали историй, и чо?

смысл моего поста был - что графинтерфейсы отказывают в ситуации тонкого канала или нехватки ресурсов. а в консоли нажал кнопку и можно подождать 10 сек пока буковка появится.
хотя, для линуксов есть другие способы избежать подобных ситуаций, неприбегая к внешним костылям в виде проксей или чего-то там еще.

И никогда не работал админом в девелоперской конторе, иначе не возникали бы вопросы "а зачем запрещать дебаггинг".

вот и я говорю - это точка зрения на проблему
у каждого свои способы организации рабочего пространства пользователя
именно поэтому я и замечаю, что

бесполезно сравнивать теплое с зеленым"

у винды - свои методы, у линукса - свои
винда пытается кастрировать возможности юзера, а линукс в той или иной степени ограничивает пространство его свободы

З.Ы.
хотя я и сам девелопер, мне никогда не понять зачем в девелоперской конторе запрещать юзерам дебагинг.

Ты никогда не сталкивался с необходимостью, например, разрешить всем приложениям производителя ZZZ доступ только по http, и только к
Ссылка скрыта от гостей
и
Ссылка скрыта от гостей
. Поэтому у тебя и возникают вопросы "а зачем"?

потому что понятие "производитель" в линуксах отсутствует
есть приложение, которому можно подрезать права
(к вопросу о теплом и зеленом)

что-то еще?

offtop:

О мегагуру, хачащий по сотне машин в день, я преклоняюсь пред тобой

обороной войну не выиграть. поэтому хороший боец не тот, кто умеет только защищаться, а тот, который умеет еще и нападать. заключительная часть собеседования с админами или девелоперами, устраивающимися ко мне на работу проходит на тему взлома.

когда-то, во время своего увлечения Сями, я перся от того, что мог поднять свой процесс из 3-го в нулевое кольцо или воспользоваться переполнением буфера в какой-то длл...
видимо, мое стойкое неуважение к этой оси проистекает с тех времен.
сейчас меня больше волнуют дыры интерфейсов и торчащих наружу сервисов... и в принципе мне пофиг какая ща винда. одно я вижу точно - с тех пор, как я освоил линукс, мое, возможно и предвзятое мнение, о том, что винда это всего лиш красивая обертка, только усилилось.

_serg_ · 19.02.2008

и кого взламываете, и главное - зачем?

себя

Pasha · 19.02.2008

(_serg_ @ 19:02:2008, 15:28 )ну я по своим ХР сужу

[snapback]98780" rel="nofollow" target="_blank[/snapback]

[/quote]XP вышло 6 лет назад. Суди хотя бы по 2003-й.

(_serg_ @ 19:02:2008, 15:28 )смысл моего поста был - что графинтерфейсы отказывают в ситуации тонкого канала или нехватки ресурсов. а в консоли нажал кнопку и можно подождать 10 сек пока буковка появится.
хотя, для линуксов есть другие способы избежать подобных ситуаций, неприбегая к внешним костылям в виде проксей или чего-то там еще.

[snapback]98780" rel="nofollow" target="_blank[/snapback]

[/quote]Никто не мешает тебе поставить telnet/ssh сервер под винду. Все равно по буковке в 10 секунд ты хоть что-то сможешь сделать как раз к концу 2-3-дневнего доса.

(_serg_ @ 19:02:2008, 15:28 )винда пытается кастрировать возможности юзера, а линукс в той или иной степени ограничивает пространство его свободы

[snapback]98780" rel="nofollow" target="_blank[/snapback]

[/quote]Т.е. когда в винде админ что-то запрещает юзеру - это кастрация возможностей, а когда он делает то же самое в линуксе - это ограничение пространства свободы? Какие-то двойные стандарты получаются.

(_serg_ @ 19:02:2008, 15:28 )потому что понятие "производитель" в линуксах отсутствует
есть приложение, которому можно подрезать права
(к вопросу о теплом и зеленом)

[snapback]98780" rel="nofollow" target="_blank[/snapback]

[/quote]К вопросу о теплом и зеленом - понятие "производитель" есть только в .net (http://en.wikipedia.org/wiki/Code_Access_Security). И оно позволяет не подрезать права приложению, а позволяет самому приложению определить права для какой-то его части. Например, запретить выполнить выкачанный х.з. откуда плагин в отдельно взятой песочнице. Или наоборот, посадить в песочницу все приложение, но разрешить плагину полный доступ. Интересно, как такое можно сделать в линуксе? Cкриптом по таймеру менять права на файл через X секунд после старта приложения?

(_serg_ @ 19:02:2008, 15:28 )хотя я и сам девелопер, мне никогда не понять зачем в девелоперской конторе запрещать юзерам дебагинг.

[snapback]98780" rel="nofollow" target="_blank[/snapback]

[/quote]Чтобы левые юзеры ничего не подправили в работающих под другими аккаунтами сервисах.

(_serg_ @ 19:02:2008, 15:28 )обороной войну не выиграть. поэтому хороший боец не тот, кто умеет только защищаться, а тот, который умеет еще и нападать. заключительная часть собеседования с админами или девелоперами, устраивающимися ко мне на работу проходит на тему взлома.

[snapback]98780" rel="nofollow" target="_blank[/snapback]

[/quote]Меньше воевать надо. А то послушаешь линуксовых админов - их каждый день хачат и досят, а они хачат и досят в ответ. Не использовать дырявое php и при найме на работу спрашивать как передавать параметры в хранимые процедуры. Миру мир.

(_serg_ @ 19:02:2008, 15:28 )видимо, мое стойкое неуважение к этой оси проистекает с тех времен.

[snapback]98780" rel="nofollow" target="_blank[/snapback]

[/quote]У меня 5 лет назад линукс умирал при попытке изменить громкость в тюнере. С тех пор я стал меньше прислушиватся к фанатичным линуксойдам. К фанатичным виндузятникам, впрочем, тоже.

_serg_ · 20.02.2008

Особая форма мазохизма?

это реальная практика
после сдачи работы одним программером, другой это тестирует
ибо автоматические тесты исправляют стилистические ошибки. логику исправлять умеет пока только челоек. потом все это уходит в отдел тестирования.
иначе будет как у микрософта - сервис пак 1 к висте

Никто не мешает тебе поставить telnet/ssh сервер под винду. Все равно по буковке в 10 секунд ты хоть что-то сможешь сделать как раз к концу 2-3-дневнего доса.

винда ложиться полностью
уже тестировали - на одном и том же канале (всего 100 Мбит) и железе, винда (2к3 кстати) ложится полностью, тогда как линь и фрибсд показали лиш легкую загрузку системы (речь о сетевухе не идет - она во всех случаях забита). админский доступ, как и положено, осуществлялся с другой сети на вторую сетевуху - отдельный канал. впрочем, винда даже локальному юзеру позволила работать минут через 10 как вынули сетевой кабель.

Т.е. когда в винде админ что-то запрещает юзеру - это кастрация возможностей, а когда он делает то же самое в линуксе - это ограничение пространства свободы? Какие-то двойные стандарты получаются.

вовсе нет
в винде ограничение свободы идет через ограничение интерфейса, а в линуксе - через ограничение пространства, где ты свою свободу можеш применить - чрут или джейл или что-то еще...
я не знаю как это объяснить человеку, который в жизни видел только одну систему - в которой одновременно может работать только один юзер

понятие "производитель" есть только в .net

не надо об этой поделке
.net в том виде, в каком оно существует сейчас - это полный фарш

Интересно, как такое можно сделать в линуксе?

давно уже пора обратить внимание, что в технологическом плане микрософт находится в роли догоняющего
упомянутые вещи доступны в линуксах уже лет 10 в самом широком ассортименте
некоторые из них я уже упоминал в своем посте
да и сама песочница нужна только в винде
(это о теплом и зеленом)
и ваще я уже писал, но бессмысленно сравнивать винду и линукс. они разные.
есть задачи, под которые собирается система. в некоторых случаях их может выполнить винда. более того, иногда именно ее предпочтительно использовать - например, корпоративный сервант для маленькой фирмы.
что-бы гнать на линукс, нужно сперва освоить эту платформу. тогда вышепредставленные аргументы против этой сисемы покажутся просто смешным детским лепетом. к тому же это сильно расширяет кругозор и повышает зарплату

Меньше воевать надо. А то послушаешь линуксовых админов - их каждый день хачат и досят, а они хачат и досят в ответ. Не использовать дырявое php и при найме на работу спрашивать как передавать параметры в хранимые процедуры.

не в тему
я говорил совсем про другое

У меня 5 лет назад линукс умирал при попытке изменить громкость в тюнере.

1. кривые руки
2. причем тут линукс? десктопных графинтерфейсов под линукс нет вообще. посмотрим еще что КДЕ4 летом сделает. ибо ее релиз - полный навоз. гном как графинтерфейс не рассматриваю. по уровню функционала он находится на уровне КДЕ 3.0

С тех пор я стал меньше прислушиватся к фанатичным линуксойдам

это я-то фанат линуксов?

я, скорее, противных винды
и, между прочим, в отличие от некоторых - могу и в сторону линукса погадить.

_serg_ · 20.02.2008

удалено модератором. Morpheus

Pasha · 20.02.2008

(_serg_ @ 20:02:2008, 10:57 )после сдачи работы одним программером, другой это тестирует