Уязвимость в sudo

Hello, anybody

Народ, наблюдаю я за вашей перепиской на разные темы уже не один месяц. И везде одно и то же. Какой-нибудь чувак просто ради прикола (не всегда безобидого) позлорадствует, а вы и клюете как в детском саду на любой подкол. Не реагируйте вы на говно, будьте людьми, а то скучно даже читать такую туфту.

Bye

На то и флейм придуман. А ты думал что здесь делают?

2anonymous (*) (2002-01-17 11:02:23.0): "Системная ошибка 5. Отказано в доступе. на той машине(192.168.0.1) реально работающий NTP-сервер(Linux;). И с Adminom все ob. А вот под Пользователем - нифига."
Правильно, а ты что ожидал? Чтоб юзер мог менять время? У тебя в такм случае больное вооброжение. Ну или полное отсутствие знаний по Виндовсу (скорее всего оба случая вместе).
"Ну и? Дать пользователю нужные права не предлагать"
Это почему же? Дать право на изменение времени, раз ты ему через sudo время разрешаешь менять, так чего же не даешь этого права на прямую? Или кроме прав 3х3 в твою голову ни чего не помещается?
"на FAT он просто страшен"
Так что у тебя еще система на ФАТ стоит? Ну нормально, посторайся про не достатки НТ больше не говорить, потому как сначала по теме что-нить узнай прежде чем говорить.
2Agweb: "Права? Посмотрел на пару файлов, права на чтение. Попробовал изменить права на explorer.exe - получилось!"
Смотрим на права к %systemroot%\explorer.exe и видим что права на изменение есть только у system и administrators. Вывод ты либо пургу гонишь, либо находишся в группе администраторов. если последнее, то с работы тебя надо гнать.
"К тому же, не вижу "опровержений" по остальным пунктам"
Я же тебе сказал, что остальное просто бред.
"Если НТ/2000 так крута, поставь в инете где-нибудь НТ/2000 с Terminal Server и дай мне юзерский логин туда. Спорим на пиво, что завалю машину?"
А как я с тебя пиво-то получу?
"На тебе линк на последок"
Читаем линк, доходим до "For another in-depth analysis comparing the initial costs GNU/Linux with Windows" и понимаем, что тот кто это писал такого слова как TCO просто не знает. Initial cost это такая же глупость как и средняя температура по больнице. За то смотрим на http://netcraft.com/survey/ и видим как апачи (кстати он не под ГНУ лицензией) медленно но верно сдает свои позиции.

>и видим как апачи (кстати он не под ГНУ лицензией) медленно но верно сдает свои позиции.

ГОН. То, что апачи "сдает" (-0.31%), называется Market Share for Top Servers. Лично мне эта цифра неинтересна.

Зато если нажать PageDown, можно увидеть Тotals for Active Servers. Там у апачи прирост 1.46, у мелкософта - 0.22

2anonymous (*) (2002-01-17 21:49:42.0): Там график есть, и видно что после определенного момента, популярность апачи стала снижатся.

Ogr, постеснялся бы выдавать цифру, лежащую в рамках погрешности за тенденцию.
Или ты сейчас уже за любую соломинку хватаешься? Хе-хе, понимаю тебя ;)

2anonymous (*) (2002-01-18 04:13:44.0): "постеснялся бы выдавать цифру, лежащую в рамках погрешности за тенденцию"
Ни фига себе погрешность. C июня 2001 года IIS вырос с 20.38% до 30.75%, апачи за этот же период уменьшился с 63.02% до 56.50%. В общем как всегда анонимус попал пальцем в небо. Иди дальше статистку изучай, а лучше начни с арифметики.

2Ogr. Во первых. Фат все-таки есть на некоторых машинах и я с этим не могу ничего поделать (не админ я там). 2. Желательно иметь часики внизу, но чтобы юзеры не могли изменить время (вариант - поставить "Левые" часики). 3. Есть автозагрузка из которой пускаяется нужная программа или net time, которая должна устанавливать время. Вариант - пускать от другого пользователя. Вот такие противоречивые условия решаются просто если-бы в ярлыке можно было-бы запомнить пользователя от имени которого должна выполняться прога. Хоть какая-то замена. Даже если они запустят еще раз ярлык с net time - ничего страшного, а если вручную переставят день-год - много гемороя, тк используемый софт очень злопамятен.

ЗЫ. Все. Ухожу-ухожу. ЗЗЫ. Это просто как пример реальной ситуации. Наверняка есть еще. Решается ситуация(сейчас) различными костылями.

2anonymous (*) (2002-01-18 09:55:43.0): Продолжаешь бредить?
"2. Желательно иметь часики внизу, но чтобы юзеры не могли изменить время"
Часики внизу есть всегда, а без прав юзер время изменить не сможет.
"3. Есть автозагрузка из которой пускаяется нужная программа или net time, которая должна устанавливать время. Вариант - пускать от другого пользователя. Вот такие противоречивые условия решаются просто если-бы в ярлыке можно было-бы запомнить пользователя от имени которого должна выполняться прога"
Я процетировал полностью, чтоб ты понял на сколько ты НЕ знаешь XP. Все это есть.
"а если вручную переставят день-год - много гемороя, тк используемый софт очень злопамятен"
Так можно им давать право менть время или нет? Если даешь такое право, то будь добр доверять, если нет, то команду at еще ни кто не отменял.

XP на 64 метрах. Не говоря о том, что не у всех iPII/Cel - мне тоже не смешно.

А я не хочу доверять - я хочу дать права другому пользователю и выполнять конкретно ОДНУ программу в НУЖНЫЙ МНЕ момент времени от имени ПОЛЬЗОВАТЕЛЯ С НУЖНЫМИ ПРАВАМИ. И при этом не покупая и не заставляя заказчика покупать XP или другую систему на дцать машин. Только не надо говорить, что Билли все равно всех заставит.

2anonymous (*) (2002-01-18 10:16:10.0): "XP на 64 метрах. Не говоря о том, что не у всех iPII/Cel - мне тоже не смешно."
А мне смешно говорить про KDE2 на 64 метрах, потому как я видел что это такое на моем P166 при этом w2k там прекрасно работает. Что же касается бедности, то человек который не может себе позволить потратить $20 на 128 мег, уж точно не сможет найти $100 на XP Home Upgrade, а проблемы таких пользователей ни кого не волнуют.
2anonymous (*) (2002-01-18 10:20:58.0): Ну раз не хочешь, доверять пользователю изменять время, то почему же ты доверяешь ему запускать программу которая это будет делать. А ответ прост - тебя посадили в лужу, а выплыть ты не знаешь как.

А пользователь ничего не запускает - программа сама запускается. А пользователь меняет время просто - вызывает "календарик" и жмет затем ok. И все. Он хакер - он м*к.

2anonymous (*) (2002-01-18 10:53:33.0): "А пользователь меняет время просто - вызывает "календарик" и жмет затем ok"
Так не давай ему права менять время, какие проблемы... Если он хакер, то он в конце концов может и ноут притащить соединив его с компом на прямую через кросс-овер и поставив на ноуте ntp сервер с левым временем, раз он уж хакер...

А я и не даю. Но синхронизировать время очень хочется - машинки старенькие, время "скачет", а софт отправляет записи с локальным временем. Отсюда весь источник проблем.

   2anonymous  (*)  (2002-01-18  10:20:58.0):  Ну раз не хочешь, доверять
   пользователю  изменять  время, то почему же ты доверяешь ему запускать
   программу  которая  это  будет делать. А ответ прост - тебя посадили в
   лужу, а выплыть ты не знаешь как.
Ogr, хорошо, более общий вопрос - если той проге нужно не менять время
(и др. операцию, которая контролируема acl'ом), а что-то другое - например отослать
в ethernet raw data (то есть не по tcp/udp/netbios) или пустить несколько
других программ  С ПРАВАМИ другого пользователя. Как это сделать?
Самому интересно.. Чтобы не спрашивались пароли.

2hvv: "а что-то другое - например отослать в ethernet raw data (то есть не по tcp/udp/netbios)"
Лирическое отступление: я знаю только два применения для raw socket - 1) писание флудеров и прочего такго же маразма 2) написание сниферов.
Для меня если честно является загадкой почему это право (создание raw socket) не было введено как часть привилегий. Тем не менее я еще раз говорю, что sudo это костыль, потому как выдача прав на запуск программы под другим аккауетом в случае если в программе есть дыра, ведет к проблемам в секюрити.

и здесь огр обосрался :)

Самый любимый анонимус огра !

2anonymous (*) (2002-01-18 21:33:24.0): "Самый любимый анонимус огра!"
Ты женского полу? Если нет, то ты мне не интересен.
PS Это только у линуксоидов, когда им указывают на проблемы, появляется желание уперется рогом (см. Avel, как наглядный пример гонщика с рогами), у нормальных людей абсолютно другая реакция.

>см. Avel, как наглядный пример гонщика с рогами
я еще и нарцисс, так что вдвойне приятно когда тебя ставят в пример, хотя бы такой... :)
а вобщето онанимус сказал, что ты обосрался, так что я на твоем месте молился бы, чтобы он не оказался женского полу.
и еще... тебе давно пора менять штаны! :))))

www.linux.OGR.ru

www.linux.OGR.ru Не твой не любимый аноненимус.

   2hvv:  "а  что-то  другое  - например отослать в ethernet raw data (то
   есть не по tcp/udp/netbios)"
   Лирическое  отступление: я знаю только два применения для raw socket -
   1) писание флудеров и прочего такго же маразма 2) написание сниферов.
Еще есть wake-on-lan (фишка биосов, которая позволяет включить комп путем
посылки ему спец. ethernet пакета, если NIC это поддерживает и есть кабелек
с NIC на MB). Хотя это частный случай спуфера, но имеет мирное применение.
   Для  меня если честно является загадкой почему это право (создание raw
   socket)  не  было введено как часть привилегий. Тем не менее я еще раз
   говорю,  что  sudo  это  костыль,  потому  как  выдача  прав на запуск
   программы  под  другим  аккауетом в случае если в программе есть дыра,
В юниксе дыра появляется только в 2х случаях:
1) если программа очень криво разбирает аргументы комм. строки (это большая
 редкость)
2) если программа криво и небезопасно трактует переменные окружения.
Оба случая - редки если прогу писал более-менее толковый ч-к или если у нее
тривиальный набор принимаемых аргументов и если она не трактует пер-ные
окружения хитрым образом.
   ведет к проблемам в секюрити.
Я же привел частный случай. Что требуется - так это задача выполнить программу
под правами другого юзера, при отсутствии стандартных ACL на соотв. операцию.
Зачем - другой вопрос (который задают только тупые инженеры и кодеры, которые
вообще не умеют мыслить).
Так как на все ACL-ов не напасешься. А еще есть аккаунтинг и журналирование
 -  какой юзер что и сколько делал. Ведь возникают ситуации когда нужно, чтобы
все выглядело так, как-будто работал не ты, а другой (и чтобы все действия
происходили от его имении с его правами).
ЗЫ:  А где можно найти список всех прав в винде и краткое описание про ее
модель безопасности (не для менеджеров, а для программеров)? Еще - например
право менять время - относится к юзеру вообще (то есть любая прога,
устанавливающая время, выполненая данным юзером, установит время, в т.ч. и
вирус), или данному юзеру и *данной* программе? Скорее всего 1ое - а это
гигантская кривизна.
 Есть ли в win32 такое понятие как группы пользователей вообще с точки зрения
ACL (можно ли дать право группе, а не одному юзеру)?

вот огр слушай что умные люди говорят, может чему-нить и научишься, времени у тебя много, девать тебе его некуда, так что ты правильный сайт выбрал для самообразования - и мы посмеемся и ты чего-нить выучишь. а Авеля слушай и в ножки ему кланяйся, он тебя плохому не научит, не то что блю... этот как его, и произнести стыдно

Второй самый любимый анонимус огра!

2anonymous (*) (2002-01-19 14:12:41.0): ". а Авеля слушай и в ножки ему кланяйся"
А я ему и так завидую, потому так гнать надо уметь, а он в этом профи, ни поста без прогона.
2hvv: "Оба случая - редки если прогу писал более-менее толковый"
Т.е. предлагаешь надеятся на толковость программиста, вместо того что бы решить эту проблему на корню %) Т.е. вместо того чтоб носить нормальную обувь будем на костылях ковылять.
"А еще есть аккаунтинг и журналирование - какой юзер что и сколько делал."
Ты бы уж заглянул бы в то как это правильно делать, а то ты думаешь что в НТ этого там нет, хотя ты будешь удвилен, что ты не прав.
"Есть ли в win32 такое понятие как группы пользователей вообще с точки зрения ACL (можно ли дать право группе, а не одному юзеру)?"
Возми книгу что-ли по НТ - любую, там на третей-четвертой странице про это написано, ну либо смотри на System Policy в Control Panel.

Пора на ЛОРе создать реал тайм чат.Было бы интересно увидеть встречу главных героев ЛОРа в реальном времени!!! Вот там бы и выяснили что круче. Об опасности уязвимости Sudo писали во всех книгах ,фагах ,манах и т.п. за долго до обнаружения самой уязвимости, эта из тех приблуд которые надо пользовать с особой осторожность(не надо не ставь), не в пример винде -ее вообще надо осторожно пользовать ВСЕГДА!Начинаем день с обновления антивирусных баз ( не факт что все будет зашибись и винда выстоит еще один день). 2Org: :Желание M$ срубить бабок на самой ОСи переходит и на всю инфу про эту ось и отсюда все проблемы, для начала чтобы ее правильно сконфигурить, а платить бабки и не хилые , за сертификацию глупо и расточительно - за чем , когда есть вполне доступные и главное полные по объему и информации источники в линукс. Не помню точно -но за 2001 появилось около 12000 вирусов (угадайте под какую ось).

   Т.е.  предлагаешь надеятся на толковость программиста, вместо того что
   бы  решить  эту  проблему  на  корню  %)  Т.е. вместо того чтоб носить
   нормальную обувь будем на костылях ковылять.
Ты не ответил на мой вопрос - не известно кто еще в обуви, а кто на костылях.
Ответь на него пожалуйста (который про право смены времени).
   "А  еще  есть  аккаунтинг  и журналирование - какой юзер что и сколько
   делал."
   Ты  бы  уж  заглянул бы в то как это правильно делать, а то ты думаешь
   что в НТ этого там нет, хотя ты будешь удвилен, что ты не прав.
У тебя в голове что-то осталось? Я тебе привожу всякие примеры, которыми
полезность НЕ ИСЧЕРПЫВАЕТСЯ (и я не особо задумывался когда их давал - посему
скорее всего упустил что-то важное). Ты же придираешься к примерам.
Например хочу пустить IE от другого юзера - чтобы его cookies, настройки и кэш
использовть. Как? Ты скорее всего скажешь что это аморально и посему это делать
невозможно. Citrix с published app не предлагать.
   "Есть ли в win32 такое понятие как группы пользователей вообще с точки
   зрения ACL (можно ли дать право группе, а не одному юзеру)?"
   Возми книгу что-ли по НТ - любую, там на третей-четвертой странице про
   это написано, ну либо смотри на System Policy в Control Panel.
Книжки все больше для тупых сейчас (многословно и неточно все описывают).
И покупать книжку (главное, идти в магазин - я же в России и не Москве/СПб)
ради одной страницы ломает. Или винду для этого мне ставить - тоже ломает..

Короче, Ogr, вот тебе реальная ситуация.
Есть некий сервис (работающий с соотв. правами). Надо дать возможность
одному (и только одному) юзеру дать возможность его останавливать, запускать
и перезапускать, не давая ему пароль админа. Сервис должен всегда работать
под тем логином, от которого работают все сервисы (наверно это админ под
виндой). Как это можно реализовать?

2hvv: "Есть некий сервис (работающий с соотв. правами). Надо дать возможность одному (и только одному) юзеру дать возможность его останавливать, запускать и перезапускать, не давая ему пароль админа"
Мы обсуждаем сферических коней в вакууме или реальные случаи? Если первое, то меня эта область знаний не интересует, если второе, то будем обсуждать какой-нить конкретный сервис. Ну да ладно...
Делайте так
1) Создаете аккаунт UserService
2) Добавляете UserService в группу Administrators
3) Создаете группу UsersWhoCanManageServices
4) Добавляете UserService в UsersWhoCanManageServices
5) Добавляете вашего юзера в UsersWhoCanManageServices
Т.о. получается, что пользователи из группы UsersWhoCanManageServices могут взаимодействовать в теми кто в этой группе живет, при этом админских прав они не получают.

Спасибо что ответил.
   Мы  обсуждаем  сферических  коней  в вакууме или реальные случаи? Если
   первое,  то  меня  эта  область  знаний не интересует, если второе, то
   будем обсуждать какой-нить конкретный сервис. Ну да ладно...
Мы обсуждаем модель безопасности в win32 - посему конкретный сервис не
рассматриваем.
   1) Создаете аккаунт UserService
   2) Добавляете UserService в группу Administrators
   3) Создаете группу UsersWhoCanManageServices
   4) Добавляете UserService в UsersWhoCanManageServices
   5) Добавляете вашего юзера в UsersWhoCanManageServices
   Т.о.  получается, что пользователи из группы UsersWhoCanManageServices
   могут  взаимодействовать  в  теми  кто  в  этой группе живет, при этом
   админских прав они не получают.
Немного не понятно. А сервис теперь будет работать под правами UserService?
Если да - то ответ не принимается - так как сервис должен работать от все того
же юзера.
Что надо будет сделать юзеру чтобы перезапустить сервис? Войти в service
manager (или как-там его зовут) - и с него не спросят пароль?
Ну и самое главное - не получит ли при этом юзер право останавливать/пускать
все сервисы вообще и вообще делать все что может админ? Если да, то ответ не
принимается - надо иметь возможность контролировать ровно один определенный
сервис и никаких других, и чтобы для управления не просили пароль. Допустим
надо на десктоп положить 3 иконки - остановить, пустить, перезапустить сервис
N, чтобы после клика пароль не спрашивали.

2hvv: "посему конкретный сервис не рассматриваем."
Я бы хотел увидеть конретный сервис где это надо.
"А сервис теперь будет работать под правами UserService? Если да - то ответ не принимается - так как сервис должен работать от все того же юзера."
Имя и права весьма разные понятия. Запускатся он будет от UserService, но будет иметь права на объекты точно такие же как если бы был запущен от админа. В этом то и вся суть ACL, можно управлять объектом у которого прав больше чем у управляющего, но при этом управляющему не делегируются не явно права как в случае с sudo.
"Что надо будет сделать юзеру чтобы перезапустить сервис?"
net stop/start
"Войти в service manager"
Ну или так.
"и с него не спросят пароль?"
Нет т.к. пароль введ админ один раз при конфигурации сервиса (там есть куда вводить).
"Ну и самое главное - не получит ли при этом юзер право останавливать/пускать все сервисы вообще и вообще делать все что может админ?"
Нет, т.к. группа UsersWhoCanManageServices не является членом группы Администраторы, равно как и оставшиеся сервисы не являются членами группы UsersWhoCanManageServices.
"чтобы после клика пароль не спрашивали"
Так и будет.

OK, спасибо за ответ. Т.е. в NT группы могут быть членами других групп? Это удобно.. Хорошо, усложним задание. Надо дать возможность юзеру только перезапускать конкретный сервис, не давая возможности ему останавливать или запускать его. Как сделать в win32 такое? Чтобы пароль не спрашивали. А про сервис где это надо - да всякие глючные прокси под винду - иногда они переходят в состояние, когда перестают обслуживать. Просить админа поставить другую проксю не предлагать.

2hvv: "Т.е. в NT группы могут быть членами других групп? Это удобно.. "
Именно.
"дать возможность юзеру только перезапускать конкретный сервис"
Перезапуск подразумевает stop/start, разве не так? (мелким-мелким шрифтом сейчас мне расскажут про reload)

   Перезапуск  подразумевает  stop/start,  разве  не  так? (мелким-мелким
   шрифтом сейчас мне расскажут про reload)
Если ты даешь право только на restart, значит ты можешь быть уверен, что
сервис будет всегда работать (так как остановить на большое время сервис юзер не сможет) -
разве не очевидно? Ну и как в этом случае быть?

2hvv: "Если ты даешь право только на restart, значит ты можешь быть уверен, что сервис будет всегда работать"
Кстати совсем не очевидный факт. На пример сервис может отказатся стартовать по новой.

   Кстати  совсем  не  очевидный  факт.  На пример сервис может отказатся
   стартовать по новой.
Но покрайне мере это гарантирует, что по вине юзера сервис не остановится
(то есть не будет ситуации, когда юзер остановил сервис и забыл его пустить).
Допустим с данным сервисом такого не бывает - то есть они никогда не
отказывается запускаться. Так как же быть в win32 с выделением прав только на
перезапуск сервиса?

Ogr, так можно ли такое поиметь под win32? Не пропадай, ОК?

2hvv: "Но покрайне мере это гарантирует, что по вине юзера сервис не остановится"
Ладно, рассказываю - пишешь bat файл из двух строчек
net stop
net start
С помощью srvany делаешь его сервисом. Конфигурируешь этот сервис как описано выше. Проблема решена.
А вот как без ACL сделать так что видеть кто смотрел твои файлы и не давать руту их видеть, я на пример не знаю. Можно ли?

2 Ogr: А смысл какой руту не давать файлы видеть? если уж он захочет никакой ацл в масдае не поможет.

и вот еще что, скажем дефрагментация диска из под админа работает? работает. кластера трогает? трогает, т.е. читает. значит и ацл ентот обмануть, как два байта. для тех кто апи хорошо знает, конечно. а не для визуалвасиков под асексом.

2anonymous (*) (2002-01-28 06:03:36.0): "А смысл какой руту не давать файлы видеть?"
Чтоб не лазил в файлы бугалтерии, т.к. ему там абсолютно не чего смотреть.
"если уж он захочет никакой ацл в масдае не поможет"
Вот только владелец файла об этом узнает тут же, и такой админ пойдет подметать улицы.
Ну как можно это в 3x3 сделать?
2anonymous (*) (2002-01-28 06:07:07.0): "трогает, т.е. читает. значит"
Прочитать-то он прочитает (если файл не шифрован), вот только запись об этом в журнале останется, точнее в двух, с начала в системном, а потом в журнале работников компании, в первом запись добавится во втором исчезнет.

А что мешает админу подчистить журнал? Разве что журнал ведется на удаленной машине, которую админит другой админ...

И пример с дефрагментатором удачный, кстати. Можно прочесть файл, не используя для этого стандартные средства файловой системы.

   С  помощью srvany делаешь его сервисом. Конфигурируешь этот сервис как
   описано выше. Проблема решена.
Отрадно, что это все-таки возможно. Правда "как описано выше" немного кривовато,
ну да хрен с ним - главное что можно.
   А  вот  как без ACL сделать так что видеть кто смотрел твои файлы и не
   давать руту их видеть, я на пример не знаю. Можно ли?
 Во-первых, есть спец. расширения на ядро линуха - например rsbac (rsbac.org) -
вещь капитальная - это система ACL, возможно намного навернутее чем в NT (ибо
спроектирована учеными, а не инженерами для попсовой ОС). Там это точно можно,
так как рут там вообщем-то и не рут.
 Во-вторых, многие юниксовые файловые системы поддерживают ACL. Например
XFS. Может JFS - не помню. UFS в солярке - тоже поддерживает. Хотя я точно не
знаю, спасут ли ACL на этих FS от рута.
   "если уж он захочет никакой ацл в масдае не поможет"
   Вот  только владелец файла об этом узнает тут же, и такой админ пойдет
   подметать улицы.
А каким образом? Появится запись в журнале о том, что рут пустил дефрагментатор,
а кто-то будет регулярно смотреть этот журнал? А рут оттуда удалить запись
может?
А пустить прогу юзера (от его имени) и присоединиттся к ней отладчиком и
прочитать ее память?
А пустить винду в режиме защиты от сбоев (или в режиме ком. строки - как он
там называется в win2k забыл) - обойдет ли ACL?
А сделать бэкап и с ленты прочитать те файлы?
А создать юзера в той же группе, что и тот юзер, с целью получения прав
чтения?

2Ogr
>>2hvv: "р.Е. Б NT ЦПСООШ ЛНЦСР АШРЭ ВКЕМЮЛХ ДПСЦХУ ЦПСОО? щРН >>СДНАМН.. "
>>хЛЕММН.
Б NT ЦПСООШ МЕ ЛНЦСР АШРЭ ВКЕМЮЛХ ДПСЦХУ ЦПСОО. ЧГЕПШ ЛНЦСР АШРЭ ВКЕМЮЛХ МЕЯЙНКЭЙХУ ЦПСОО.

sorry...
2Ogr.
>> 2hvv: "Т.е. в NT группы могут быть членами других групп? Это
>> удобно..."
>> Именно.
в NT группы не могут быть членами других групп. юзеры могут
быть членами нескольких групп.

2 Lucky Ты не прав. В НТ есть группы локальные и глобальные. Глобальные могут включать в себя только юзеров, а локальные юзеров и глобальные группы. А в Вин2000 еще лучше: группа может содержать группу, та 2-ю группу, 2-я 3-ю и т.д. mars

2hvv: "Во-первых, есть спец. расширения на ядро линуха "
Опять пол интрнета качать? Потом пачти накладывать... Нормально, и кто тут про кривости рассказывал?
"Появится запись в журнале о том, что рут пустил дефрагментатор,
а кто-то будет регулярно смотреть этот журнал?"
Владелец раз в неделю. И будет это видно очень сразу.
"А рут оттуда удалить запись может?"
Только со всем журналом. Потом придется объяснятся куда делся журнал и отговорки вроде "что-то глюкнуло" не прокатят, это вам не линукс.
"А пустить прогу юзера (от его имени) и присоединиттся к ней отладчиком и прочитать ее память?"
Не получится - пароля рут не знает. Пароль можно назначить новый, но настоящий владелец заметит это с утра, когда за логинится не сможет. И опяттаки запись в журнале...
"А пустить винду в режиме защиты от сбоев (или в режиме ком. строки - как он там называется в win2k забыл) - обойдет ли ACL?"
Нет. ACL всегда действуют.
"А сделать бэкап и с ленты прочитать те файлы?"
Порабойтайте на нормальные фирмы и узнаете, что бэкап забирается бугалтером и отвозится в сэйфдепозит бокс.
"А создать юзера в той же группе, что и тот юзер, с целью получения прав чтения?"
Не получится, запись про этого юзера окажется в журнале.
В обзем я так понял, что сделать этого в линуксе нельзя. Так что вы там про энтерпрайз реади говорили?
2Lucky: "в NT группы не могут быть членами других групп"
Книжку в зубы и пока не прочтете лучше будет Вам по молчать.

2hvv: "Правда "как описано выше" немного кривовато"
Возможно "кривовато", НО куда прямее чем в случае с sudo, где юзер получает не явно рутовские права, а в судо как показала практика имеются ошибки, т.е. юзер может просто взломать машину.

А вот у меня в линуксе root далеко не все файлы может прочитать. кроме шуток.

Bluesman

   2hvv: "Во-первых, есть спец. расширения на ядро линуха "
   Опять пол интрнета качать? Потом пачти накладывать... Нормально, и кто
   тут про кривости рассказывал?
Я рассказывал про идеологическую кривость (которая проявляется каждый раз
при пользовании чем-то), а не затруднения на этапе инталляции.
 Это хозяйство можно взять на altlinux.ru в составе их дистрибьютива
Castle (правда он еще в бетах ходит, но долго).
   "Появится запись в журнале о том, что рут пустил дефрагментатор,
   а кто-то будет регулярно смотреть этот журнал?"
   Владелец раз в неделю. И будет это видно очень сразу.
   "А рут оттуда удалить запись может?"
   Только со всем журналом. Потом придется объяснятся куда делся журнал и
   отговорки вроде "что-то глюкнуло" не прокатят, это вам не линукс.
Как-то не верится, что формат этого журнала никому не известен (и что нет
спец. софта для удаления из него записей).
А если дефраментатор не от MS - то есть который не добавит запись о том, что он
стартовал? Или если бинарник дефрагментатора пропатчить чтобы он запись
не добавлял?
   "А  пустить  прогу  юзера  (от  его  имени)  и  присоединиттся  к  ней
   отладчиком и прочитать ее память?"
   Не  получится  - пароля рут не знает. Пароль можно назначить новый, но
   настоящий владелец заметит это с утра, когда за логинится не сможет. И
   опяттаки запись в журнале...
А если присоединиться отладчиком к уже запущенной юзером проге (то есть
прогу пускает сам юзер, а рут поджидает его и подсоединяется отладчиком)?
   "А сделать бэкап и с ленты прочитать те файлы?"
   Порабойтайте  на  нормальные  фирмы  и  узнаете,  что бэкап забирается
   бугалтером и отвозится в сэйфдепозит бокс.
Да, забыл про это. Хорошо, а в файл бэкап сделать и файл посмотреть?
   "А  создать  юзера  в той же группе, что и тот юзер, с целью получения
   прав чтения?"
   Не получится, запись про этого юзера окажется в журнале.
Не верится, что этот журнал нельзя редактировать сторонними прогами.
Ну и последний вариант - берем, грузим линукс на этой машине и монтируем
ntfs в ro. Правда если FS шифрованная, то будут проблемы.
Как альтернатива - копируем поблочно винт на CDRW и
уносит домой в кармане (или копируем файловую систему на комп в отделе
разработчиков софта, а там пускаем линукс, или просто пишем образ на винт и
грузимся с него в винду - и там делаем что угодно - записи в журнале никто
не увидит).
   В  обзем  я  так понял, что сделать этого в линуксе нельзя. Так что вы
   там про энтерпрайз реади говорили?
В линуксе бы сделали по-другому AFAIK. Либо ставим RSBAC, либо -
Админ бы настроил ей систему раз и навсегда, и потом не имел бы доступа к
системе вообще ( и пароль рутовский тоже естественно сменился бы на ему
неизвестный, и вообще доступ руту в систему был бы сделан невозможным).