хочу поставить себе сервак, что поставить Windows 2003 или какую-нить сборку Линукса? Очень интересно мнение

ну если уж речь пошла о компиляции, то локальному пользователю можно вообще запретить запуск приложений
или я не понял в чем смысл обсуждения? в том что пила все-таки не пилит железо?
а вообще, ограничивать такую вещь как симлинк глупо - это очень гибкая штука, (которой в винде, кстати, до сих пор нет). если уж так хочется ограничить доступ юзера к каким-то веткам ФС, то делается это на уровне прав доступа в директорию

в винде (по крайней мере до выхода висты) дефолтный локальный юзер вообще неявно обладает системными правами
и ваще мелкософт упорно игнорирует проблемы безопасности своего гуя
именно это их отношение к проблемам своих клиентов меня раздражает (речь идет не об оси, а об их отношении к делу)

З.Ы.
хотя, это и неудивительно - c учетом ]]>этого]]> (примерно каждый 20-й)

Конкретный вопрос - можно ли в линуксе запретить пользователю создавать симлмнки? Не запретить вызывать ln, не запретить запускать вообще все подряд, не запретить gcc, а запретить именно само действие - создание симлинка.
Речь о том, что почти все полиси в винде (те самые, которые хранятся в реестре, а не в виде ACL) - это права не действия, не имеющие до своего выполнения аналогов в виде файлов/команд/алиазов. А в линуксе они или явно привязаны к файлам, или просто не имеют аналогов, как запрет на создание симлинков. Хотя, если подходить с точки зрения линуксойда - то все, чего нет в линуксе - это глупо и бесполезно. Ведь в линуксе есть все
В серверных винде дополнительный локальный юзер вообще не создается. А даже если создается - то это никак не проблемы безопасности GUI. Ставь 2008-ю в Core, там даже гуи нет.
Самые рьяные гомофобы - латентные гомосексуалисты.

а зачем? просто потому что так хочется?
если так хочется это сделать, то ввести ограничения на разрешенный набор команд для юзера (ну или запрещенный)
но я не могу представить себе для чего это надо. обычно проблемы такого рода решаются выставлением соответствующих прав доступа - симлинк ни к чему не обязывает систему. это что-то типа юзерского сокращения для "cd /абсолютный/путь" - ничего страшного в этом нет. если целевая директория закрыта для пользователя, то симлинк не поможет.
имхо, неудачный пример для "можно ли"
ответ: "нужно-ли"

если там ихний повер-шелл, то разницы никакой
кстати, раз уж речь зашла о 2008-й - сделали там наконец-то возможность одновременной работы нескольких юзеров? или все так-же уныло как и раньше?

Все хранимые в реестре настройки безопасности - это вот такие вот "а зачем это". Если ты ими не пользуешься, то почему тебя так напрягает факт, что они хранятся в реестре, а не в туевой хуче текстовых файлов?
Там просто консоль сервера. Даже дотнета нет. Как раз для фанатов поубивать свое время решая давно решенные задачи.

так мелкософт сама от реестра отказывается. нафига его защищать?
а реестр это прежде всего бездарно сожранная оперативка. в то время как конфиг грузится в память только тот, который надо
а особый фетиш через текстовый терминал править этот самый реестр - когда канал к удаленному серверу просто просел. ну или там система находится под легким досом. ибо через радмин безмазняк.
и ваще у меня складывается впечатление, что обсуждение с темой симлинка - разговор немого с глухим. один пытается привести пример проблемы, которой другой не видит.
ну хранятся настройки в реестре и чо? в линуксах тоже можно конфиги удаленно хранить. более того, можно сделать так, что и юзерские и системные профайлы будут на удаленном сервере храниться, в то время, как весь остальной фарш будет на локальной тачке доступен. кстати, в этом случае принцип "have a boot - have a root" для такой машины непрокатывает. в отличие от винды - где единственный способ защиты инфы - шифрование винта.

в смысле?

И сколько же бесценной оперативки отъедает в винде реестр? Да браузер при отображении этого форму больше есть. В разы.
Regeditor, кстати, вполне нормально работает c удаленным компом, ничуть не медленнее чем текстовый редактор в консоли. И я не вполне представляю себе ситуацию, когда приходится под досом что-то править прямо в реестре.
То, что ты не знаешь как в винде хранить настройки на удаленном сервере, еще не значит что это сделать нельзя. Гугл по Roaming Profile.
А у меня складывается впечатление, что убежденным линуксойдам просто нравится решать проблемы через самописные скрипты и расстановку прав на файлы. Ну нет в линуксе запрета симлинков. Нельзя запретить доступ с CDROM удаленно залогиненным юзерам. Нельзя запретить дебаггинг конкретному юзеру. Если у тебя такие проблемы не возникали, еще не значит что они не возникают у других - ведь по чьей-то просьбе MS наплодил таких меганастроек.
В том смысле что PowerShell - очень удобная вещь. Если хорошо знаешь .net.

Да, это не всегда удобно. Причем, можно запросто удалить или подкорректировать как-нибудь своеобразно один из этих файлов и получить при следующем старте системы большой "Привет"

Сообщение отредактировал astronom - 18:02:2008, 18:55

зависит от истории установок программ

невсегда
кроме того, браузер можно выключить и освободить память

а я отлично представляю
когда на моем хостинге почти месяц досили один сайт (атаками по 2-3 дня с суточным перерывом), канал был забит так, что хостеру приходилось арендовать чужие. вот мне админы виндов понарасказывали веселых историй...

бесполезно рассуждать на эту тему с человеком, который, по-видимому, в жизни не хачил на одной машины

самописные скрипты пишутся раз в жизни, а большинство готовых инструментов подставляется вместе с продуктом - папочка share.
а политику прав на файлы пока что еще никому не удалось переплюнуть
нужно просто поработать с обеими системами, чтобы сравнить эти подходы

а вы вообще что курите? если задаться этой идиотской целью запретить симлинк - запретить юзеру вызывать ln. хочется большего - делай ему песочницу. chroot, jail, виртуальную машину - вариантов туча.
запретить симлинк в линуксах это как запретить ветку реестра в винде.

это че имеется ввиду?

а зачем?

вот это типичный взгляд на комп пользователя винды
если что-то не работает - переставляем систему
а вот линуксоид либо будет смотреть логи (если система работает), либо загрузится в сейф-моде или с ливсиди и поправит конфиг, что бы все работало
а чтобы конфиги не удалялись, их хранят на флешке, например. причем разные - заточенные под свои нужды. ибо дефолтный конфиг всегда доступен в xxx.conf.default

вот это типичный взгляд на комп пользователя линукса (почти ©, тоже такойже ламерский

а помоему это типичный взгляд не спеца и все, не знаю у меня винда 2003 как поставили так и работает ниразу не перебивали, FreeBSD вообще работает с далеких 90-х обновляли только и все, вот уже около года на Ubuntu сервер крутится тоже полет нормальный, так что тут о том, что виндавозники сразу винду перебивают, а линуксоиды такого не делают говорить глуппо. Винду вовсе не обязательно перебивать если что то не работает. (говорю только за сервеную, потому что на практике десктопную лучше перебить, чтобы потом меньше было заморочек, это мое личное мнение)

Вообще-то винда уже давно не загружает реестр, а просто мапит его в память. И тратит при этом 4 метра на реестр, и 16 на весь System hive.
]]>http://support.microsoft.com/kb/302594/]]>
А линуксовые сервера у того же хостера отлично работали? Не верю (с). Мне вот тоже линуксовые админы порассказали историй, и чо?
О мегагуру, хачащий по сотне машин в день, я преклоняюсь пред тобой. Да ты о roaming profile узнал из моей мессаги, как с тобой можно о чем-то рассуждать, если ты в винде кроме переустановки ничего не умеешь делать?
Складывается впечатление, что ты просто винду готовить не умеешь, потому она тебе и не нравится. И никогда не работал админом в девелоперской конторе, иначе не возникали бы вопросы "а зачем запрещать дебаггинг".
Я ведь не утверждаю, что винда как серверная система лучше линуха. Нужно быть извращенцем, чтобы держать связку апач+php+mysql под виндой. Просто есть вещи, которые под линуксом лучше вообе не пытаться поднять, например, хоть сколько-нибудь распределенные системы под .net. Ты никогда не сталкивался с необходимостью, например, разрешить всем приложениям производителя ZZZ доступ только по http, и только к ]]>http://qqq/]]> и ]]>http://eee/]]>. Поэтому у тебя и возникают вопросы "а зачем"? А я сталкивался. И не совсем понимаю, как это можно сделать выставлением прав на файлы.

Сообщение отредактировал Pasha - 19:02:2008, 11:55

ну я по своим ХР сужу

смысл моего поста был - что графинтерфейсы отказывают в ситуации тонкого канала или нехватки ресурсов. а в консоли нажал кнопку и можно подождать 10 сек пока буковка появится.
хотя, для линуксов есть другие способы избежать подобных ситуаций, неприбегая к внешним костылям в виде проксей или чего-то там еще.

вот и я говорю - это точка зрения на проблему
у каждого свои способы организации рабочего пространства пользователя
именно поэтому я и замечаю, что

у винды - свои методы, у линукса - свои
винда пытается кастрировать возможности юзера, а линукс в той или иной степени ограничивает пространство его свободы

З.Ы.
хотя я и сам девелопер, мне никогда не понять зачем в девелоперской конторе запрещать юзерам дебагинг.


потому что понятие "производитель" в линуксах отсутствует
есть приложение, которому можно подрезать права
(к вопросу о теплом и зеленом)

что-то еще?

offtop:

обороной войну не выиграть. поэтому хороший боец не тот, кто умеет только защищаться, а тот, который умеет еще и нападать. заключительная часть собеседования с админами или девелоперами, устраивающимися ко мне на работу проходит на тему взлома.

когда-то, во время своего увлечения Сями, я перся от того, что мог поднять свой процесс из 3-го в нулевое кольцо или воспользоваться переполнением буфера в какой-то длл...
видимо, мое стойкое неуважение к этой оси проистекает с тех времен.
сейчас меня больше волнуют дыры интерфейсов и торчащих наружу сервисов... и в принципе мне пофиг какая ща винда. одно я вижу точно - с тех пор, как я освоил линукс, мое, возможно и предвзятое мнение, о том, что винда это всего лиш красивая обертка, только усилилось.

К чему тут война ... мммм маразм крепчал, и кого взламываете, и главное - зачем?

себя

Особая форма мазохизма?

XP вышло 6 лет назад. Суди хотя бы по 2003-й.
Никто не мешает тебе поставить telnet/ssh сервер под винду. Все равно по буковке в 10 секунд ты хоть что-то сможешь сделать как раз к концу 2-3-дневнего доса.
Т.е. когда в винде админ что-то запрещает юзеру - это кастрация возможностей, а когда он делает то же самое в линуксе - это ограничение пространства свободы? Какие-то двойные стандарты получаются.
К вопросу о теплом и зеленом - понятие "производитель" есть только в .net (http://en.wikipedia.org/wiki/Code_Access_Security). И оно позволяет не подрезать права приложению, а позволяет самому приложению определить права для какой-то его части. Например, запретить выполнить выкачанный х.з. откуда плагин в отдельно взятой песочнице. Или наоборот, посадить в песочницу все приложение, но разрешить плагину полный доступ. Интересно, как такое можно сделать в линуксе? Cкриптом по таймеру менять права на файл через X секунд после старта приложения?
Чтобы левые юзеры ничего не подправили в работающих под другими аккаунтами сервисах.
Меньше воевать надо. А то послушаешь линуксовых админов - их каждый день хачат и досят, а они хачат и досят в ответ. Не использовать дырявое php и при найме на работу спрашивать как передавать параметры в хранимые процедуры. Миру мир.
У меня 5 лет назад линукс умирал при попытке изменить громкость в тюнере. С тех пор я стал меньше прислушиватся к фанатичным линуксойдам. К фанатичным виндузятникам, впрочем, тоже.

это реальная практика
после сдачи работы одним программером, другой это тестирует
ибо автоматические тесты исправляют стилистические ошибки. логику исправлять умеет пока только челоек. потом все это уходит в отдел тестирования.
иначе будет как у микрософта - сервис пак 1 к висте

винда ложиться полностью
уже тестировали - на одном и том же канале (всего 100 Мбит) и железе, винда (2к3 кстати) ложится полностью, тогда как линь и фрибсд показали лиш легкую загрузку системы (речь о сетевухе не идет - она во всех случаях забита). админский доступ, как и положено, осуществлялся с другой сети на вторую сетевуху - отдельный канал. впрочем, винда даже локальному юзеру позволила работать минут через 10 как вынули сетевой кабель.

вовсе нет
в винде ограничение свободы идет через ограничение интерфейса, а в линуксе - через ограничение пространства, где ты свою свободу можеш применить - чрут или джейл или что-то еще...
я не знаю как это объяснить человеку, который в жизни видел только одну систему - в которой одновременно может работать только один юзер

не надо об этой поделке
.net в том виде, в каком оно существует сейчас - это полный фарш

давно уже пора обратить внимание, что в технологическом плане микрософт находится в роли догоняющего
упомянутые вещи доступны в линуксах уже лет 10 в самом широком ассортименте
некоторые из них я уже упоминал в своем посте
да и сама песочница нужна только в винде
(это о теплом и зеленом)
и ваще я уже писал, но бессмысленно сравнивать винду и линукс. они разные.
есть задачи, под которые собирается система. в некоторых случаях их может выполнить винда. более того, иногда именно ее предпочтительно использовать - например, корпоративный сервант для маленькой фирмы.
что-бы гнать на линукс, нужно сперва освоить эту платформу. тогда вышепредставленные аргументы против этой сисемы покажутся просто смешным детским лепетом. к тому же это сильно расширяет кругозор и повышает зарплату

не в тему
я говорил совсем про другое

1. кривые руки
2. причем тут линукс? десктопных графинтерфейсов под линукс нет вообще. посмотрим еще что КДЕ4 летом сделает. ибо ее релиз - полный навоз. гном как графинтерфейс не рассматриваю. по уровню функционала он находится на уровне КДЕ 3.0

это я-то фанат линуксов?
я, скорее, противных винды
и, между прочим, в отличие от некоторых - могу и в сторону линукса погадить.

А почему не сразу в отдел тестирования, нафик такие хороводы? Или это наверное у вас этакое ХР? Чур меня ....

А ну да вы еще и в работе микрософта сечет, да и лучьше их самих небось, это понятно ... а то как-же.

хм... я так подозреваю вы и в этом преуспели, иначе откуда уверенность ... нда виден издалека спец.


фу ... некоторые в отличии от вас таким ваще не занимаются