Groups | Search | Server Info | Keyboard shortcuts | Login | Register
Groups > de.comp.os.unix.programming > #3068
| From | "Andreas M. Kirchwitz" <amk@spamfence.net> |
|---|---|
| Newsgroups | de.comp.os.unix.programming |
| Subject | Re: sudo make install von nfs share |
| Date | 2024-04-21 14:32 +0000 |
| Organization | 20 minutes into the future |
| Message-ID | <slrnv2a8rn.1ir.amk@msgid.krell.zikzak.de> (permalink) |
| References | <v00n8s$16esu$1@gwaiyur.mb-net.net> <slrnv282i5.hts.amk@msgid.krell.zikzak.de> <v02lph$1effl$2@gwaiyur.mb-net.net> <slrnv29q57.ofg.amk@msgid.krell.zikzak.de> <v033ac$1fa46$1@gwaiyur.mb-net.net> |
Marcel Mueller <news.5.maazl@spamgourmet.org> wrote: >>> Das geht alles nach /usr/local. Aber dazu braucht man auch root-Rechte. >> >> Nein, ganz bestimmt nicht, dafür braucht man keine root-Rechte, > > Also bei Debian, Ubuntu und Mint schon. Ganz sicher nicht, definitiv nicht. >> Häh? Wo ist der Unterschied, ob User X seine selbstcompilierte >> Software in /usr/local unter seiner eigenen User-ID installiert >> oder ob er sich vorher root-Rechte holt? Das ändert doch abgesehen >> vom Eigentümer nichts an den Dateien in /usr/local. > > Wenn ich als User etwas compiliere, dann kann ich es nur nach ~/bin > packen und dort steht es nur bei mir selbst im Pfad. Wenn der Admin Dir nicht traut, dann mag das so sein. > In /usr/local hingegen kann ich darauf warten, dass ein anderer User, > vorzugsweise root in die Falle tappt und mein Programm ausführt. Was lässt Du für merkwürdige User auf Deine Systeme, die nur darauf warten, Dich zu hacken? Den gesamten Baum in /usr/local kann man einer Unix-Gruppe geben, nennen wir sie einfach "local", und dort können dann Leute, die für alle Software installieren sollen, mit User-Rechten Software compilieren und installieren. Möglicherweise sind das User, denen man auch root-Rechte gegeben hätte, doch das muss nicht zwingend so sein, aber in jedem Fall muss dort niemand unnötig als root etwas machen, was auch mühelos als normaler User geht. Software sollte man nicht vertrauen, dass sie beim Compilieren oder Installieren alles richtig macht. Da gibt auch manchmal welche, die das gesamte System in Schutt und Asche gelegt hätte. Dagegen ist es ein guter Schutz, eben nicht mit root-Rechten Software zu compilieren oder zu installieren. Wer das nicht in /usr/local machen will, kann auch was in /opt nehmen oder sonst wo auf dem System, ist ja egal, denn /usr/local hat im Grunde keine besondere Bedeutung, außer dass es oft der Default ist für selbstcompilierte Software. >> Vor allem ist es ein großes Risiko, wenn jeder User immer gleich >> root-Rechte benötigt, bloß um zusätzliche Software bereitzustellen. > > Tja, abgestufter geben es die alten Unix-Standards nicht her. Doch, es gibt Gruppen. Nutzt kaum noch jemand, sind aber geil. > Zwischen > User und Root gibt es bei den meisten Distributionen nicht viel, und > wenn dann nur sehr punktuell, z.B. für Drucker-Administration. Gruppen werden von den meisten Distributionen tatsächlich genutzt für die Lücke zwischen root und User. >> Vertrauen zur Installation von zusätzlicher Software ist die eine >> Sache, das ganze Basissystem zu verändern, ist eine andere Sache. > > Zusätzlich ist ein relativer Begriff. Üblicherweise ist /usr/local vor > /usr in den Pfaden, damit selber compilierte Versionen von irgendetwas > Priorität haben. Natürlich ist das so, aber man lässt ja auch nicht jeden User in /usr/local Software installieren, so wie man auch nicht jedem User root-Rechte gibt. Es gibt aber eine Welt dazwischen, die man mit Unix-Bordmitteln leicht steuern kann. >> Natürlich erhält in /usr/local nur eine Gruppe von Usern Zugriff, >> denen man hinreichend vertraut. > > Damit entfällt halt die notwendige Passworteingabe bei sudo. Was > wiederum bedeutet, eventuell kompromittierte Software kann unbemerkt > agieren. Ich verstehe, was Du damit sagen willst, aber was soll das in der Realität tatsächlich bringen? Das Risiko, mit root zu hantieren, ist um Größenordnungen höher. >> Dafür gibt's unter Unix ja die >> Gruppen, die merkwürdigerweise von vielen Admins verschmäht werden. > > Es bräuchte schon einen anderen User, der dort und gleichzeitig im > Source-Verzeichnis schreiben darf. Dann könnte man mit su zu diesem > wechseln und die Installation vornehmen. Etwas umständlich, aber ich > denke darüber nach. Das ist sehr umständlich, aber wenn es für Dich seinen Zweck erfüllt, freue ich mich. :-) >> Vor allem fällt mit dieser Methode auch sofort auf, wenn eine >> Software versucht, außerhalb von /usr/local herumzufummeln, >> wo sie in der Regel nichts zu suchen hat. > > ? Bei "make install" gibt es trotz anderslautender Optionen manches Softwarepaket, was trotzdem direkt in z.B. /etc oder /usr fummeln möchte. Das kann einem das System zerlegen. :-( Daher installiere ich grundsätzlich nicht mit root-Rechten, außer wenn ich weiß, dass es aus technischen Gründen schwerlich anders geht und ich vorher genau geprüft habe, was im Makefile steht. Diese Risiko, dass "make install" mein System zerstört, das ist leider real und eine tatsächliche Gefahr, die es aktiv abzuwenden gilt. Grüße, Andreas
Back to de.comp.os.unix.programming | Previous | Next — Previous in thread | Next in thread | Find similar
sudo make install von nfs share Marcel Mueller <news.5.maazl@spamgourmet.org> - 2024-04-20 17:33 +0200
Re: sudo make install von nfs share Markus Schaaf <mschaaf@elaboris.de> - 2024-04-20 18:50 +0200
Re: sudo make install von nfs share Marcel Mueller <news.5.maazl@spamgourmet.org> - 2024-04-21 11:40 +0200
Re: sudo make install von nfs share Markus Schaaf <mschaaf@elaboris.de> - 2024-04-21 16:03 +0200
Re: sudo make install von nfs share "Andreas M. Kirchwitz" <amk@spamfence.net> - 2024-04-21 14:40 +0000
Re: sudo make install von nfs share Markus Schaaf <mschaaf@elaboris.de> - 2024-04-21 17:07 +0200
Re: sudo make install von nfs share "Andreas M. Kirchwitz" <amk@spamfence.net> - 2024-04-21 16:28 +0000
Re: sudo make install von nfs share Markus Schaaf <mschaaf@elaboris.de> - 2024-04-21 18:57 +0200
Re: sudo make install von nfs share "Andreas M. Kirchwitz" <amk@spamfence.net> - 2024-04-21 19:03 +0000
Re: sudo make install von nfs share Stefan Reuther <stefan.news@arcor.de> - 2024-04-22 18:56 +0200
Re: sudo make install von nfs share "Andreas M. Kirchwitz" <amk@spamfence.net> - 2024-04-20 18:32 +0000
Re: sudo make install von nfs share Marcel Mueller <news.5.maazl@spamgourmet.org> - 2024-04-21 11:20 +0200
Re: sudo make install von nfs share Markus Schaaf <mschaaf@elaboris.de> - 2024-04-21 11:27 +0200
Re: sudo make install von nfs share "Andreas M. Kirchwitz" <amk@spamfence.net> - 2024-04-21 10:21 +0000
Re: sudo make install von nfs share Marcel Mueller <news.5.maazl@spamgourmet.org> - 2024-04-21 15:11 +0200
Re: sudo make install von nfs share "Andreas M. Kirchwitz" <amk@spamfence.net> - 2024-04-21 14:32 +0000
Re: sudo make install von nfs share Marcel Mueller <news.5.maazl@spamgourmet.org> - 2024-04-22 18:54 +0200
Re: sudo make install von nfs share Markus Schaaf <mschaaf@elaboris.de> - 2024-04-22 21:44 +0200
Re: sudo make install von nfs share Arthur Erhardt <usenet2024@erhardt-net.de> - 2024-04-22 20:53 +0000
Re: sudo make install von nfs share Markus Schaaf <mschaaf@elaboris.de> - 2024-04-22 23:28 +0200
Re: sudo make install von nfs share Arthur Erhardt <usenet2024@erhardt-net.de> - 2024-04-23 07:56 +0000
Re: sudo make install von nfs share Markus Schaaf <mschaaf@elaboris.de> - 2024-04-23 14:47 +0200
csiph-web