Как запустить демона под минимальными правами?
Alexander Goldun
пользователся, не имеющего админских прав? Демон не запускается и при
этом в логах ничего существенного при запуске обнаружить не удалось
Serg Ageev
26 мая 2006 14:31, Alexander Goldun писал All:
AG> Как запустить службу MDaemon не от Local system, а от какого-нибудь
AG> пользователся, не имеющего админских прав? Демон не запускается и при
AG> этом в логах ничего существенного при запуске обнаружить не удалось
наверно, более правильно будет не "как запустить", а "можно ли вообще
запустить службу с урезанными правами?"
я не знаю как.
я зачем это требуется?
может проще задачу изменить?
С уважением Serg.
Alexander Goldun
>> Как запустить службу MDaemon не от Local system, а от какого-нибудь
>> пользователся, не имеющего админских прав? Демон не запускается и при
>> этом в логах ничего существенного при запуске обнаружить не удалось
>
> наверно, более правильно будет не "как запустить", а "можно ли вообще
> запустить службу с урезанными правами?"
Можно, конечно! Для этого нужно лишь в политиках требуемой учетной
записи добавить право входа в качестве службы, причем админские права
для этой учетной записи совсем необязательны. У меня некоторые службы
таким образом прекрасно работают. А вот демону чего-то не хватает, а
чего именно - непонятно. Запускается и сразу выгружается. В логах при
этом ничего существенного.
> я зачем это требуется?
> может проще задачу изменить?
Ну как же, это же классический дополнительный уровень защиты системы!
Активно практикуется в unix-системах. Открытые наружу сервисы, которые
потенциально могут быть взломаны снаружи, запускаются с ограниченными
правами. В таком случае при взломе злоумышленник получит доступ к
системе лишь с ограниченными правами. А Local system имеет максимальные
полномочия.
Serg Ageev
29 мая 2006 15:26, Alexander Goldun писал Serg Ageev:
>>> Как запустить службу MDaemon не от Local system, а от какого-нибудь
>>> пользователся, не имеющего админских прав? Демон не запускается и
>>> при этом в логах ничего существенного при запуске обнаружить не
>>> удалось наверно, более правильно будет не "как запустить", а
>>> "можно ли вообще
>> запустить службу с урезанными правами?"
AG> Можно, конечно!
про Данную Конкретную Службу не скажу - не пробовал, потому и высказал
такое предположение.
могу точно сказать, что далеко не все задачи желают работать службой с
ограниченными правами.
да и не только службой, просто запустить задачу с урезанными правами иногда
не получается.
это зависит от конкретной задачи...
AG> Для этого нужно лишь в политиках требуемой учетной
AG> записи добавить право входа в качестве службы, причем админские права
AG> для этой учетной записи совсем необязательны. У меня некоторые службы
AG> таким образом прекрасно работают. А вот демону чего-то не хватает, а
AG> чего именно - непонятно. Запускается и сразу выгружается. В логах при
AG> этом ничего существенного.
например, одна из предыдущих версий настоящей аськи требовала для запуска
прав не ниже поверюзера.
нафига - мне не понятно.
из-за этого я тогда и ушёл с неё на миранду.
такой вот пример из моей практики...
>> я зачем это требуется?
>> может проще задачу изменить?
AG> Hу как же, это же классический дополнительный уровень защиты системы!
AG> Активно практикуется в unix-системах. Открытые наружу сервисы, которые
AG> потенциально могут быть взломаны снаружи, запускаются с ограниченными
AG> правами. В таком случае при взломе злоумышленник получит доступ к
AG> системе лишь с ограниченными правами. А Local system имеет
AG> максимальные полномочия.
возможно, что в наших личных опытах есть некоторая разница, из-за того, что
я работаю только на виндовых системах.
с утверждением, что чем меньше прав, тем лучше для безопасности - я
согласен.
С уважением Serg.