From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Subject: Re: [devel] =?koi8-r?Q?=E9=C4=C5=D1?= =?koi8-r?Q?_=D0=CF?= =?koi8-r?Q?_=C9=D3=D0=D2=C1=D7=CC=C5=CE=C9=C0?= =?koi8-r?Q?_=CE=C1=D3=D4=D2=CF=C5=CB?= =?koi8-r?Q?_=D0=CF?= =?koi8-r?Q?_=D5=CD=CF=CC=DE=C1=CE=C9=C0?= =?koi8-r?Q?_=D7?= =?koi8-r?Q?_=DA=C1=D7=C9=D3=C9=CD=CF=D3=D4=C9?= =?koi8-r?Q?_=CF=D4?= =?koi8-r?Q?_=CE=C1=DA=CE=C1=DE=C5=CE=C9=D1?= =?koi8-r?Q?_=CD=C1=DB=C9=CE=D9?= From: =?koi8-r?Q?=F7=D1=DE=C5=D3=CC=C1=D7_?= =?koi8-r?Q?=E4=C9=CB=CF=CE=CF=D7?= To: devel@altlinux.ru In-Reply-To: <3E96B062.7090007@altlinux.com> References: <1050041608.6062.49.camel@alpha.tirs.ru> <3E96B062.7090007@altlinux.com> Content-Type: text/plain; charset=KOI8-R Organization: Message-Id: <1050352693.28242.258.camel@alpha.tirs.ru> Mime-Version: 1.0 X-Mailer: Ximian Evolution 1.2.1- (1.2.1-alt3) Date: 15 Apr 2003 00:38:13 +0400 Content-Transfer-Encoding: 8bit Sender: devel-admin@altlinux.ru Errors-To: devel-admin@altlinux.ru X-BeenThere: devel@altlinux.ru X-Mailman-Version: 2.0.9 Precedence: bulk Reply-To: devel@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: List-Post: В Птн, 11.04.2003, в 16:09, Anton Farygin написал: > Вячеслав Диконов пишет: > > В Срд, 09.04.2003, в 10:01, Anton V. Boyarshinov написал: > >>>Система может ставиться на компьютеры, исполняющие > >>>фундаментально разные функции (Как минимум это "Сервер", > >>>"Многопользовательская рабочая станция" и автономный > >>>"_персональный_ компьютер с играми мультемедия и т.п."). > > Собственно в качестве критерия предлагается число пользователей на > > машине (1 - много) и способ их подключения (все локально или нет сети > > - есть сеть, локальные и удалённые пользователи или клиенты серверных > > служб - сервер, то есть все пользователи работают с машиной удалённо). > > Это даёт 4 основных варианта: > > > > 1) 1 локальный пользователь > > 2) несколько локальных пользователей > > 3) несколько пользователей, в том числе удалённых > > 4) исключительно удалённые пользователи (сервер) > > > > Случай 1 это личный компьютер, где всевозможные защиты лишь мешают > > хозяину, использовать его по своему усмотрению. Многие домашние и даже > > рабочие компьютеры попадают именно в эту категорию. Таков мой первый > > компьютер. > > Нет. Не мешают. Они учат его жить в сложном мире сетевых компьютеров. > Пручают к правильному образу жизни. //Надеюсь все мы понимаем, что никто, ни я, ни Вы, ни фирма АЛЬТ, ни компьютер не имеет права навязывать человеку другой образ жизни.// Здесь идёт речь о НЕ сетевых компьютерах. ПЕРСОНАЛЬНЫЙ компьютер можно рассматривать как своего рода продолжение хозяина. Он должен обеспечивать максимальный комфорт, скорость и эффективность работы одного человека при минимальных требованиях "безопасности". Это означает, что случаев, когда машина отказывается выполнять указания своего хозяина быть не должно по определению, а требования ввода пароля и просьбы "позвать администратора", должны сводиться к минимуму. Одна из причин популярности ДОС и Вин9х состоит как раз в полноте контроля и отсутствии препятствий в виде прав доступа и разного рода блокировок. Пример: Необходима возможность задания пустого пароля (для беспарольного входа) стандартными средствами. (Сейчас passwd выдаёт ошибку.) Для некоторых машин очень желателен прозрачный доступ к большинству "рутовых" команд и программ, таких как ifconfig, service и т.п. без необходимости специально настраивать sudo вручную. Нужен supermount. > > Случай 2 "семейный" компьютер или машина на работе без ЛВС, которой > > пользуются все сотрудники, но одновременная работа нескольких > > пользователей невозможна. > > Это как? Зачем нам делать невозможным одновременную работу нескольких > пользователей. Не надо специально делать её невозможной. "Случай 2" - это машины, где есть лишь 1 комплект монитор+мышь+клавиатура и нет физической возможности или задачи подключать дополнительные удалённые терминалы и клиентов по сети. В результате получается, что в каждый отдельный момент времени с машиной работает ОДИН и только ОДИН человек. Пример проблемы: Существующие в Мастере стандартные настройки pam для shutdown, reboot, poweroff затрудняют работу в ситуациях 1 и 2, вынуждают совершать лишнние действия и терять время. Их исправление требует глубоких знаний, которые есть не у всех. (Результат - неудовлетворённость пользователей, выключение компьютеров "рубильником" и вполне материальный ущерб.) > > Случаи 3 Сетевая рабочая станция, с которой одновременно могут работать > > несколько человек (мой второй компьютер). В том числе машины с > > мигрирующими пользователями, хранящими настройки на сервере. > > * "личный сервер" на одного человека, не слишком частое явление, но > > бывает. В плане настроек можно не выделять, так как где один удалённый > > пользователь, там без труда должны подключаться несколько. > > > > Случай 4 Сервер. > > > > > > Настройки в Мастере отчётливо нацелены на случаи 3 и 4, причём 1 и 2 > > игнорируются с возмутительным высокомерием. > > И правильно. Я не вижу разницы между пунктом 2, 1 и 3. Снова повторюсь, что разница между 2 и 3 состоит в количестве _одновременно_ работающих с машиной людей, а разница между 2 и 1 в _общем_ количестве пользователей когда-либо прикасающихся к компьютеру. Все 3 случая требуют разных настроек таких вещей как pam, а к какому классу относится машина понятно ещё до установки. Именно поэтому в новом установщике желательно предусмотреть возможность выбора, а в некоторых программах разные настройки по умолчанию в зависимости от выбранной роли. Если реализация большого числа альтернатив окажется слишком сложной, то минимально необходимым будет разделение между 1,2 и 3,4, то есть предельное число _одновременно_ работающих с машиной людей. > > В новом инсталляторе необходимо предусмотреть способ выбора роли машины > > и корректировки стандартных настроек в соответствии с ней. > > Роль выбирать несомненно надо, но сильно снижать уровень безопасности > машины... а если вдруг у человека интернет появился? Тут нужна настройка сетевых фильтров, а не системы в целом. Для простого пользования Интернетом можно написать общие эталонные правила и ставить их по умолчанию на сетевые интерфейсы, которые ведут в Интернет.