On Fri, Jan 04, 2002 at 09:33:37PM +0300, Dmitry V. Levin wrote:
> На самом деле, это вопрос policy, и есть варианты поведения по умолчанию:
Безусловно.

> 1. При создании пользователей автоматически заносить их в группу XXX.
>    Членам группы XXX предоставлять доступ к устройству /dev/XXX.
>    Владельцу консоли отдавать устройство /dev/XXX в распоряжение на время
>    владения консолью, лишая доступа к этому устройству членам группы XXX
>    на это же время.
"recommended"?

> 2. При создании пользователей не заносить их автоматически в группу XXX,
>    предоставив выбор администратору.
>    Членам группы XXX предоставлять доступ к устройству /dev/XXX.
>    Владельцу консоли отдавать устройство /dev/XXX в распоряжение на время
>    владения консолью, сохраняя доступ к этому устройству членам группы
>    XXX.
"expert"?

> Сейчас у нас в основном действует первый вариант (хотя не все утилиты
> заносят пользователей в группу XXX), в то время как мне кажется более
> разумным второй вариант. Какие будут соображения?
Плюс задокументировать в руководстве.  Тогда все должны остаться
довольны :) (нет, я понимаю, что этого не бывает в принципе ;)

PS: долго соображал и дважды успел поменять recommended и expert
местами.

Но в итоге решил, что новичок имеет меньше шансов запустить две
X-сессии с xmms или работать с флопом от двух себя; в то же время
у меня почему-то исторически выходит вариант 2 (машина
многопользовательская).

Вообще pam_console, по моему впечатлению, создавалась как "скорая
помощь" _однопользовательским_ (чуть утрирую) системам без
создания существенных проблем с безопасностью.  А вот группы
характерны для многопользовательских, где администрирование
волей-неволей приводит к более быстрому набору опыта :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ http://visa.chem.univ.kiev.ua/~mike/