Автор Тема: P9, Рабочая станция K 8.93 - почему в точках входа есть разделы /, /opt и /home  (Прочитано 7646 раз)

Оффлайн kiav

  • Завсегдатай
  • *
  • Сообщений: 527
  • Стич-спасатель
    • Email
Их наличие - полдела.

Я нажимал на кнопку размонтирования /opt. Система без сомнений предложила ввести пароль пользователя. Т.е. размонтировать можно. И мне это удалось с /opt  с правами обычного пользователя!

Точки монтирования принадлежат root:root. Права на группу и всем остальным - чтение и траверс. Все это настроила программа инсталляции. Не менял.

Сами разделы насозадавал именно так при установке системы в режиме ручного разбиение диска (именно в инсталляторе).

$ cat /etc/fstab
proc            /proc                   proc    nosuid,noexec,gid=proc          0 0
devpts          /dev/pts                devpts  nosuid,noexec,gid=tty,mode=620  0 0
#tmpfs          /tmp                    tmpfs   nosuid                          0 0
UUID=3668a20a-4899-4db4-931a-900e4f1dfe19       /       ext4    noatime,discard 1       1
UUID=DD90-7193  /boot/efi       vfat    noatime,umask=0,quiet,showexec,iocharset=utf8,codepage=866      1       2
UUID=4bf001ae-e8de-4b72-a704-f01f3e584e8a       /home   ext4    nosuid,relatime 1       2
UUID=0a97f538-fbe5-4557-9cb0-6e2778e4024c       /opt    ext4    nosuid,nodev,relatime   1       2
UUID=c47b6e13-5c70-483f-b88a-c3803ff004cc       swap    swap    defaults        0       0

Вручную fstab не менял. Может в нем что не так? Далеко не все поля я понимаю.

Для наглядности снял видео с экрана https://youtu.be/uAeqB-bJ15o (без попыток размонтирования, будет надо и это сниму)
« Последнее редактирование: 09.11.2019 06:06:54 от kiav »

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 099
А в чём проблема-то сама? Если разделы создали, то вот они и есть.

Оффлайн kiav

  • Завсегдатай
  • *
  • Сообщений: 527
  • Стич-спасатель
    • Email
Ну что создал и есть - понятно.
Понятно также там видеть флешки, внешние диски (то, что монтируется в /run/media).

А /opt и /home я всегда считал системными и не подлежащими таким вольностям как размонтирование пользователем. Тем более корневая ФС (ее я еще не пробовал так размонтировать, не удивлюсь что можно, чем кончится - не знаю).
« Последнее редактирование: 09.11.2019 09:35:45 от kiav »

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Я нажимал на кнопку размонтирования /opt. Система без сомнений предложила ввести пароль пользователя. Т.е. размонтировать можно. И мне это удалось с /opt  с правами обычного пользователя!

:-) Про обычного пользователя, я уже рассказывал в другой теме, много и подробно. Однообразно отвечать мне надоело.

Любите загадки, головоломки, шарады? Посмотрите на скриншоты, найдите отличия и объясните, в чём они.

Хотите подсказку?, - в вашей системе нет обычного пользователя. Но почему-то 90% современных линуксоидов, абсолютно уверены в обратном.
« Последнее редактирование: 10.11.2019 00:36:50 от Speccyfighter »

Оффлайн kiav

  • Завсегдатай
  • *
  • Сообщений: 527
  • Стич-спасатель
    • Email
Про обычного пользователя, я уже рассказывал в другой теме, много и подробно. Однообразно отвечать мне надоело.
Гораздо удобнее ссылка на сообщение. Или ключевое слово для поиска, т.к. "обычный пользователь" на этом форуме повторяется тысячи раз.

Хотите подсказку?
За наводку на udisks и на polkit спасибо.

в вашей системе нет обычного пользователя. Но почему-то 90% современных линуксоидов, абсолютно уверены в обратном.
Наверное это уже обсуждалось в той неизвестной теме. Все верно, обычные пользователи как были так и остались. Просто вопросам политики безопасности (polkit) теперь уделяется больше внимания.

Меня удивили текущие настройки политик, получается.

Я снял видео опытов в виртуальной машине. Там мне удалось получить такое же окно запроса пароля для размонтирования корневой ФС. Но у ОС хватило мозгов этого не делать. С /home - тоже. Свободно размонтируется так только /opt.


Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 099
Там мне удалось получить такое же окно запроса пароля для размонтирования корневой ФС. Но у ОС хватило мозгов этого не делать. С /home - тоже. Свободно размонтируется так только /opt.
Если на ФС существуют открытые файлы, она не размонтируется. /opt - это не системный каталог, это каталог для внесистемных недоразумений.

Оффлайн kiav

  • Завсегдатай
  • *
  • Сообщений: 527
  • Стич-спасатель
    • Email
Вручную fstab не менял. Может в нем что не так?
Нет. Специально видео снял. Это сразу после установки проверял.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Я нажимал на кнопку размонтирования /opt. Система без сомнений предложила ввести пароль пользователя. Т.е. размонтировать можно. И мне это удалось с /opt  с правами обычного пользователя!

Не совсем обычного пользователя, - wheel-пользователя, администратора. У которого на данную операцию права стали равными правам суперадминистратора. Наглая рожа wheel оборзел и вообразил что он root. :-)
В старых Линукс, за такую попытку провернуть такой фокус, так далеко бы послало, что и дорогу назад нельзя было бы отыскать.

Вручную fstab не менял. Может в нем что не так?

Не так в политике безопасности Линукс, - новые веяния, новые профессионалы и всё такое :-) :
За ненадобностью и с появлением elogind в p9, polkit-sysvinit в p9 умер, но он должен восстать из пепла. Например как polkit-guard, polkit-safeguard или polkit-protect. Который должен будет ужесточить политику безопасности в системах p9 на sysv, по крайней мере с udisks2.
Это только идея. Будет ли она воплощена в теме Xfce с SysV, время покажет.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Понятно также там видеть флешки, внешние диски (то, что монтируется в /run/media).

А /opt и /home я всегда считал системными и не подлежащими таким вольностям как размонтирование пользователем.

Именно это (storage и hint: system) и должен предполагать пакет polkit-safeguard. Который существует только как витающая в воздухе идея: ужесточение правил безопасности обращения с файловыми системами.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Правила по-умолчанию в системах на udisks2 (также см. wheel в /etc/group):
# sed -n '92p; 119p; 163,167p; 324p; 351p; 393,397p' /usr/share/polkit-1/actions/org.freedesktop.UDisks2.policy
  <action id="org.freedesktop.udisks2.filesystem-mount-system">
    <description xml:lang="ru">Монтировать файловую систему на системном устройстве</description>
    <defaults>
      <allow_any>auth_admin</allow_any>
      <allow_inactive>auth_admin</allow_inactive>
      <allow_active>auth_admin_keep</allow_active>
    </defaults>
  <action id="org.freedesktop.udisks2.filesystem-unmount-others">
    <description xml:lang="ru">Демонтировать устройство, смонтированное другим пользователем</description>
    <defaults>
      <allow_any>auth_admin</allow_any>
      <allow_inactive>auth_admin</allow_inactive>
      <allow_active>auth_admin_keep</allow_active>
    </defaults>

Поэтому это правило должно выполняться неукоснительно:
root входит в свою учётную запись (логинится как root) только тогда, когда ситуация экстраординарна.
Во всех остальных случаях он пользуется другой своей учётной записью первого созданного пользователя (не сиди под root -ом!!). И root и первый пользователь входят в группу администаторов, - wheel. И первый пользователь (администатор) сразу после инсталляции системы входит еще в под десяток групп.
Все остальные создаваемые пользователи, это непревилегированные пользователи, не обладающие какими-либо правами. И входят они только в одну группу, - свою. Как правило она имеет такое же имя как и логин пользователя. Суперпользователь или администратор могут при необходимости делегировать права этим пользователям, занося их в какие-либо группы.
Преамбула:
Здесь следует принять тот факт, что при инсталляции системы создаются две учётных записи, root и user1. И обе они принадлежат пользователю устанавливающему систему, грубо говоря root-у. Тут нужно понять, что root (физическое лицо), тоже человек, а не ломовая лошадь которая обязана администрировать систему и разгребать за пользователями. Ему тоже хочется расслабиться и послушать потоковое, но делать это из под root-овой учётки в корне неправильно. Т.о. после инсталляции системы, в системе существуют две учётных записи (root и user1) и обе они принадлежат одному и тому же человеку, - других пользователей в системе ещё нет.
Ещё раз для понимания:
Пользователь user1 (он же wheel) при 'su -' вводит пароль root не потому что root раззвонил ему свой пароль, а потому что учётка root принадлежит ему же, - root-у.
« Последнее редактирование: 10.11.2019 20:37:31 от Speccyfighter »