Автор Тема: Права доступа в Simply  (Прочитано 8513 раз)

Оффлайн gosts 87

  • Участник
  • *
  • Сообщений: 3 085
  • Дмитрий/Dmitry/德米特里/दिमित्री
Re: Права доступа в Simply
« Ответ #45 : 20.06.2024 13:24:17 »
Дело не в ОС, а в безопасности/удобстве
О безопасности,  говорите? Какая может быть "безопасность" без ввода пароля?
что за вирус,
Ну, с вирусом я, пожалуй, перегнул. А что насчёт взлома скажете?
« Последнее редактирование: 20.06.2024 13:56:55 от gosts 87 »

Оффлайн gosts 87

  • Участник
  • *
  • Сообщений: 3 085
  • Дмитрий/Dmitry/德米特里/दिमित्री
Re: Права доступа в Simply
« Ответ #46 : 20.06.2024 13:34:35 »
В виндовс вы хоть раз видели по дефолту пароль на скринсавере чтобы стоял?
Уже не помню. Последний раз пользовал "Виновс XP" в 2016-м. Недавно видел у знакомого "Виндовс 11". Да. Она удобнее, чем "XPюша", но в плане безопасности лучше не сильно стало, кроме двух вещей: 1. Ввод пароля, 2. Скачивание и установка нужных программ из магазина приложений, а не откуда-попало.

Оффлайн gosts 87

  • Участник
  • *
  • Сообщений: 3 085
  • Дмитрий/Dmitry/德米特里/दिमित्री
Re: Права доступа в Simply
« Ответ #47 : 20.06.2024 13:39:21 »
Вам напомнить, с какими привилегиями создаётся пользователь при установке виндовс?
Проблема в том, что "Виндовый" Администратор равен по полномочиям и возможностям "Линуксовому" Руту!

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 555
Re: Права доступа в Simply
« Ответ #48 : 20.06.2024 17:13:30 »
Ну, с вирусом я, пожалуй, перегнул. А что насчёт взлома скажете?
   Нет, не перегнули. Там не только вирусы. Ко всем открытым для пользователя файлам будут иметь доступ и все запущенные от этого пользователя приложения. Браузер, например. Сайты и вэб-приложения тоже. Открытая страница в браузере сможет читать, сохранять, изменять и удалять файлы в местах, где этой страницы и духу не должно быть. Под типовое использование разработчики браузера в какой-то мере это пресекают, но и там далеко не всё. Ну а тот, кто налепит себе таких "удобств", сам и будет разгребать последствия, никто ему помогать не станет. Ибо поделом.
   Для наглядности сделайте два, например, текстовых файла с разным содержимым. Откройте в браузере второй файл и сохраните его с именем первого. Содержимое первого файла куда-то делось? Определённым образом сформированная вэб-страница может и не такое, и без каких-либо вопросов о том, что файл существует и т.д. Для смеха можно сделать окошечко с вопросом "хотите получить бонус", при нажатии на кнопку "да" удалится половина всех доступных файлов, при нажатии на "нет" удалится вторая половина всех доступных файлов, при нажатии на крестик удалятся все сразу. Это для смеха. А вообще с помощью вэб-страниц подобных особо продвинутых пользователей можно поиметь миллионами разнообразных способов. Но это их проблема, они сами так себе нарешали.
« Последнее редактирование: 20.06.2024 17:46:07 от stranger573 »

Оффлайн gosts 87

  • Участник
  • *
  • Сообщений: 3 085
  • Дмитрий/Dmitry/德米特里/दिमित्री
Re: Права доступа в Simply
« Ответ #49 : 20.06.2024 20:45:34 »
введение пароля при доступе к разделу только даст ему дополнительные права
Давайте представим, что в конкретную Линукс-систему попал вредоносный код и он написан специально под этот дистрибутив.
Во-первых, этот код попадёт в один промежуток времени в одно пользовательское пространство (например пространство Пользователя).
Во-вторых, этот код сможет попасть на отмонтированный диск или его раздел только после ввода пароля и примонтирования этого диска или раздела.
В-третьих, чтобы начать заражать систему он должен быть исполняемым файлом.
В-четвёртых, если отмонтированных разделов много, но примонтирован только какой-то из них, то заражению подвергнется только он один (если конечно не были примонтированы все разделы).
5-е: в Линукс, в отличие от Windows, кроме Администратора и Пользователя существует самый главный пользователь - Root. Вот от Рута можно делать с системой всё, что угодно!

В Виндовс (особенно до 8-ки) всё намного проще. Скачивается вредоносный код, но в отличие от Linux или BSD-систем ему не нужно изменять права и делать его исполняемым, потому-что он уже является таковым!
« Последнее редактирование: 20.06.2024 21:18:03 от gosts 87 »

Оффлайн Nicom

  • Участник
  • *
  • Сообщений: 887
Re: Права доступа в Simply
« Ответ #50 : 20.06.2024 22:27:46 »
Для наглядности сделайте два, например, текстовых файла с разным содержимым. Откройте в браузере второй файл и сохраните его с именем первого. Содержимое первого файла куда-то делось?
Что Firefox, что Chromium, у меня спрашивают разрешения на перезапись существующего файла.
Определённым образом сформированная вэб-страница может и не такое, и без каких-либо вопросов о том, что файл существует и т.д.
Подскажите, пожалуйста, как можно подавить окно запроса перезаписи файла с разрешающим ответом? Я не понимаю как это можно сделать на веб-странице. Разве что с помощью javascript попробовать передавать нажатия клавиш с непонятным результатом.

Опция выбора автозагрузки без пароля есть, потому что это очевидно разный подход - с защитой и без,
"Защита" никуда не делась.
Эта опция, всего лишь, даёт возможность локального автоматического входа в графическую оболочку, (ну, это так, опция для домохозяек с одним ноутбуком в квартире, чтобы удобнее лениться на диване). Настраивается она в настройках display manager, который, в свою очередь, работает от root.
Тем временем, сетевой вход, или вход в реальный консольный сеанс, всё ещё требует пароля, или ключа, собственно, как и в виндовс. И пароль для этого пользователя вы указывали на этапе установки, или при создании нового пользователя.
Без созданного пароля вы не сможете залогиниться пользователем, хотя создать такого пользователя можно командой adduser.

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 555
Re: Права доступа в Simply
« Ответ #51 : 21.06.2024 01:43:10 »
Что Firefox, что Chromium, у меня спрашивают разрешения на перезапись существующего файла.
Они все спросят. Это же самый примитивный пример того, что браузер может перезаписать любой файл, к которому у него есть доступ. Может не перезаписывать а просто сохранить (в автозагрузке, например), а может локальные файлы отправить куда-нибудь.

Подскажите, пожалуйста, как можно подавить окно запроса перезаписи файла с разрешающим ответом? Я не понимаю как это можно сделать на веб-странице.
Манипуляций с самим окном много можно сделать, технически.
Опустить его под основное, загнать за пределы экрана, изменить размер до нуля или одного пикселя, сделать прозрачным, перекрыть другим окном со своими кнопками, перекрыть другим окном с дырками под кнопки этого (нарисовать в нём что-нибудь такое, что вы сами нужную кнопку надавите), и да, передать нажатие (причём так быстро, что оно максимум в одном кадре мелькнёт). А можно и вообще ничего не делать, вы же встречали пользователей не глядя давящих на кнопку ок? Наверняка не все перечислил. Тут, кстати, стопроцентный успех и не требуется — не сработало одно, попробуют другое, и будут пробовать раз за разом годами. Что из подобного реализуемо — зависит от защитных механизмов конкретного браузера. Может ничего, может разработчики что упустили, а может что и сломали какой новой фичей. Часто самые простые и очевидные вещи люди просто не продумывают. И это только манипуляции с окошком, без хитроумных способов какой-нибудь перезаписи участков оперативной памяти.
   Есть и масса другого: наступили на ссылку (причём не обязательно в браузере, а в каком нибудь офисе), просто открыли письмо в почтовике, открыли в том же офисе документ (который проверили антивирусом), а он при открытии подгрузил содержимое из интернета (есть ведь такие) и много чего ещё. Оно же мелькает в новостях. Причём выясняется это там где есть службы и системы безопасности. Там где нет или у сам-себе-админов никто даже и не узнает, что и каким способом произошло. Эти дырки постоянно закрываются (после того как были использованы) и постоянно появляются другие.
   Максимальное ограничение программы в доступе к файловой системе это последняя линия обороны (и совсем не лишняя), когда все остальные пробиты.

Оффлайн gosts 87

  • Участник
  • *
  • Сообщений: 3 085
  • Дмитрий/Dmitry/德米特里/दिमित्री
Re: Права доступа в Simply
« Ответ #52 : 21.06.2024 10:08:33 »
наступили на ссылку (причём не обязательно в браузере
Тут могу недобрым словом вспомнить Android. Где с магазина в прошивке содержалась программа с всплывающей во весь экран рекламой и администраторскими правами.

Так вот,  ткнул один раз на такую рекламу, далее - открытие браузера, переход по ссылке, перенаправление на другой сайт и в результате минус N-ная сумма с мобильного счёта!
Причём избавится от такой "закладки" не обладая Root правами не получится! Пришлось извращаться и устанавливать программу для их получения...
Если-бы в "Андроиде" Root был бы разблокирован, то удалить эту программу с рекламными закладками можно было в два счёта!
« Последнее редактирование: 21.06.2024 16:24:25 от gosts 87 »

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 555
Re: Права доступа в Simply
« Ответ #53 : 21.06.2024 14:33:04 »
Тут могу недобрым словом вспомнить Android.
Для андроида одного недоброго слова недостаточно, для него требуется словарь в двенадцати томах всех недобрых слов из всех языков.
Самая ни на что негодная ос и приложения. Всё что туда попадает — любой файл, фотография, любая введённая буква и цифра, всё немедленно оказывается на посторонних серверах. Что делает его абсолютно непригодным для использования ни для себя лично, ни для работы.
« Последнее редактирование: 21.06.2024 14:35:58 от stranger573 »

Оффлайн gosts 87

  • Участник
  • *
  • Сообщений: 3 085
  • Дмитрий/Dmitry/德米特里/दिमित्री
Re: Права доступа в Simply
« Ответ #54 : 21.06.2024 16:22:56 »
Для андроида одного недоброго слова недостаточно
К сожалению, среди операционок для мобильных устройств выбор невелик...
Но в Андроиде умудрились заблокировать опцию, которая бы делала её максимально безопасной в плане защиты от вредоносного кода и для максимально удобного и быстрого удаления такого кода!
Естественно, перед тем, как лезть в консоль и вводить какие-либо команды, аналогичные Линукс-системам на десктопе или сервере, было бы нужно знание того, что вводишь.
О том, что ОС куда-то, что-то "сливает" я сейчас не говорю. Это немного другая история...

Оффлайн yxma

  • Участник
  • *
  • Сообщений: 716
  • я люблю лИнукс. особенно альт
Re: Права доступа в Simply
« Ответ #55 : 21.06.2024 22:34:55 »
Да неужели? Это с каких пор там пропало редактирование точек монтирования и указание опций оного для существующих разделов? Тем более для зачем "мутные гуи" специалистам, которым проще fstab отредактировать сразу после установки?
Затем, что редактировать нужно целую кучу разделов, каждый в отдельности, а политику можно выбрать одной галочкой.  Да и кривая она у альта и мх, все люди линуксы как линуксы, а эти защищают от меня мой компьютер на уровне идиота. Надысь antix посмотрел - наполнение из коробки на все руки. А в альте ни ssr, ни obs не работают. Вот где о мутности нужно говорить
симплик, он симплик и есть

Оффлайн Denisok39

  • Участник
  • *
  • Сообщений: 5
Re: Права доступа в Simply
« Ответ #56 : 28.08.2024 08:44:47 »
Правила для polkit для простого монтирования статья , только себе переделал "для всех юзеров", добавляться в группу не нужно.
polkit.addRule(function(action, subject) {
if (action.id == "org.freedesktop.udisks2.filesystem-mount-system" &&
subject.isInGroup("users")) {
return polkit.Result.YES;
};
if (action.id == "org.freedesktop.udisks2.filesystem-mount-other-seat" &&
subject.isInGroup("users")) {
return polkit.Result.YES;
};
if (action.id == "org.freedesktop.udisks2.eject-media-other-seat" &&
subject.isInGroup("users")) {
return polkit.Result.YES;
};
if (action.id == "org.freedesktop.udisks2.power-off-drive-other-seat" &&
subject.isInGroup("users")) {
return polkit.Result.YES;
};
});
имя для файла " 99-udisk2_mount.rules" , путь  /etc/polkit-1/rules.d/99-udisk2_mount.rules
« Последнее редактирование: 28.08.2024 09:10:34 от Denisok39 »

Оффлайн yxma

  • Участник
  • *
  • Сообщений: 716
  • я люблю лИнукс. особенно альт
Re: Права доступа в Simply
« Ответ #57 : 29.08.2024 21:52:53 »
Эта зараза распространяется на другие дистрибутивы - после обновления с правами  доступа начали шалить минт и рунту... Самое грустное, что теперь даже права рута не помогают переносу файла от одного линукса в другой.
Придется возвращаться на LF...
симплик, он симплик и есть

Оффлайн GrishaDm

  • Участник
  • *
  • Сообщений: 454
Re: Права доступа в Simply
« Ответ #58 : 30.08.2024 02:25:15 »
Да и кривая она у альта и мх, все люди линуксы как линуксы, а эти защищают от меня мой компьютер на уровне идиота.
Совершенно верно. Другой пример. Раздел ntfs - каждый примерно 3й запуск Альтлинукса - у меня монтируется на чтение. Дальше они видимо думают, что пользователь будет сидеть и юзать опции проверки раздела, а затем монтировать его? В том же Дебиане 12 - сама ОС в таких случаях запускается в безопасном режиме, проверяет раздел, перезагружается и монтирует как надо(тратится 3 минуты). И НИКАКИХ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЯ НЕ ТРЕБУЕТСЯ. В виндовс 10 вообще без перезагрузки это происходит за 1 минуту (если раздел не системный - надо зайти в проводнике в него и подождать пока указатель мыши не покажет, что задача выполнена, а в старых версиях тоже была перезагрузка - минуты 3 тратилось в виндовс ХP).
Тут разработчики Альтлинукса не о безопасности заботятся - они буквально всё делают, чтобы пользователь с этой ОС ушёл.
« Последнее редактирование: 30.08.2024 02:27:41 от GrishaDm »

Оффлайн Denisok39

  • Участник
  • *
  • Сообщений: 5
Re: Права доступа в Simply
« Ответ #59 : 30.08.2024 06:05:53 »
Эта зараза распространяется на другие дистрибутивы - после обновления с правами  доступа начали шалить минт и рунту... Самое грустное, что теперь даже права рута не помогают переносу файла от одного линукса в другой.
Если это из-за новых правил для polkit, можно попробовать только первое правило оставить(на монтирование)
polkit.addRule(function(action, subject) {
if (action.id == "org.freedesktop.udisks2.filesystem-mount-system" && subject.isInGroup("users")) {
return polkit.Result.YES;
};
});

ЗЫ. но перед этим наверное стОит программно размонитровать "проблемные" разделы)
« Последнее редактирование: 30.08.2024 06:37:58 от Denisok39 »