* [devel] QA: device access policy (was Re: [mdk-re] (fwd) ALTLinux Антирут :)
@ 2002-01-04 18:33 ` Dmitry V. Levin
2002-01-04 18:56 ` [devel] QA: device access policy Michael Shigorin
0 siblings, 1 reply; 2+ messages in thread
From: Dmitry V. Levin @ 2002-01-04 18:33 UTC (permalink / raw)
To: devel, ALT Linux Spring mailing list
[-- Attachment #1: Type: text/plain, Size: 1972 bytes --]
On Fri, Jan 04, 2002 at 06:54:05PM +0200, Michael Shigorin wrote:
> > > работе с mtools (с/на ДОСовой дискетки хочу файлы скинуть)
> > > оно пишет не хватает прав? А? Не, можно, конечно (наверное :))
> > Кто-нибудь может подтвердить или опровергнуть?
> Есть подозрение (телепатическое), что дело было от юзера,
> добавленного после установки и _не_ посредством userdrake => не
> попавшего в группу floppy. В принципе, нюансы различного
> поведения adduser и userdrake хорошо бы где-то задокументировать
> в книжечке, заодно сославшись и на /etc/security/console.perms и
> на pam_console(8).
Возможно.
Эта ситуация напоминает мне аналогичный вопрос, возникший недавно при
работе с /dev/audio.
На самом деле, это вопрос policy, и есть варианты поведения по умолчанию:
1. При создании пользователей автоматически заносить их в группу XXX.
Членам группы XXX предоставлять доступ к устройству /dev/XXX.
Владельцу консоли отдавать устройство /dev/XXX в распоряжение на время
владения консолью, лишая доступа к этому устройству членам группы XXX
на это же время.
2. При создании пользователей не заносить их автоматически в группу XXX,
предоставив выбор администратору.
Членам группы XXX предоставлять доступ к устройству /dev/XXX.
Владельцу консоли отдавать устройство /dev/XXX в распоряжение на время
владения консолью, сохраняя доступ к этому устройству членам группы
XXX.
Сейчас у нас в основном действует первый вариант (хотя не все утилиты
заносят пользователей в группу XXX), в то время как мне кажется более
разумным второй вариант. Какие будут соображения?
Regards,
Dmitry
+-------------------------------------------------------------------------+
Dmitry V. Levin mailto://ldv@alt-linux.org
ALT Linux Team http://www.altlinux.ru/
Fandra Project http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
^ permalink raw reply [flat|nested] 2+ messages in thread
* Re: [devel] QA: device access policy
2002-01-04 18:33 ` [devel] QA: device access policy (was Re: [mdk-re] (fwd) ALTLinux Антирут :) Dmitry V. Levin
@ 2002-01-04 18:56 ` Michael Shigorin
0 siblings, 0 replies; 2+ messages in thread
From: Michael Shigorin @ 2002-01-04 18:56 UTC (permalink / raw)
To: devel, ALT Linux Spring mailing list
[-- Attachment #1: Type: text/plain, Size: 1843 bytes --]
On Fri, Jan 04, 2002 at 09:33:37PM +0300, Dmitry V. Levin wrote:
> На самом деле, это вопрос policy, и есть варианты поведения по умолчанию:
Безусловно.
> 1. При создании пользователей автоматически заносить их в группу XXX.
> Членам группы XXX предоставлять доступ к устройству /dev/XXX.
> Владельцу консоли отдавать устройство /dev/XXX в распоряжение на время
> владения консолью, лишая доступа к этому устройству членам группы XXX
> на это же время.
"recommended"?
> 2. При создании пользователей не заносить их автоматически в группу XXX,
> предоставив выбор администратору.
> Членам группы XXX предоставлять доступ к устройству /dev/XXX.
> Владельцу консоли отдавать устройство /dev/XXX в распоряжение на время
> владения консолью, сохраняя доступ к этому устройству членам группы
> XXX.
"expert"?
> Сейчас у нас в основном действует первый вариант (хотя не все утилиты
> заносят пользователей в группу XXX), в то время как мне кажется более
> разумным второй вариант. Какие будут соображения?
Плюс задокументировать в руководстве. Тогда все должны остаться
довольны :) (нет, я понимаю, что этого не бывает в принципе ;)
PS: долго соображал и дважды успел поменять recommended и expert
местами.
Но в итоге решил, что новичок имеет меньше шансов запустить две
X-сессии с xmms или работать с флопом от двух себя; в то же время
у меня почему-то исторически выходит вариант 2 (машина
многопользовательская).
Вообще pam_console, по моему впечатлению, создавалась как "скорая
помощь" _однопользовательским_ (чуть утрирую) системам без
создания существенных проблем с безопасностью. А вот группы
характерны для многопользовательских, где администрирование
волей-неволей приводит к более быстрому набору опыта :)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ http://visa.chem.univ.kiev.ua/~mike/
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
^ permalink raw reply [flat|nested] 2+ messages in thread
end of thread, other threads:[~2002-01-04 18:56 UTC | newest]
Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2002-01-04 18:33 ` [devel] QA: device access policy (was Re: [mdk-re] (fwd) ALTLinux Антирут :) Dmitry V. Levin
2002-01-04 18:56 ` [devel] QA: device access policy Michael Shigorin
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git