From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <inger@alt-linux.org>
Message-ID: <3CA855B7.5080908@alt-linux.org>
Date: Mon, 01 Apr 2002 16:42:31 +0400
From: Stanislav Ievlev <inger@alt-linux.org>
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.9) Gecko/20020310
X-Accept-Language: ru, en-us
MIME-Version: 1.0
To: devel@altlinux.ru
Subject: Re: [devel] =?KOI8-R?Q?=E9=CE=C6=CF=D2=CD=C1=C3=C9=D1_=CB_=D2?=
 =?KOI8-R?Q?=C1=DA=CD=D9=DB=CC=C5=CE=C9=C0_=CF_=CE=C1=D3=D4=D2=CF=CA=CB?=
 =?KOI8-R?Q?=C1=C8?=
References: <20020401132756.GF12173@sam-solutions.net>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Sender: devel-admin@altlinux.ru
Errors-To: devel-admin@altlinux.ru
X-BeenThere: devel@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: devel@altlinux.ru
List-Help: <mailto:devel-request@altlinux.ru?subject=help>
List-Post: <mailto:devel@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=subscribe>
List-Id: <devel.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/devel/>
Archived-At: <http://lore.altlinux.org/devel/3CA855B7.5080908@alt-linux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

Alexander Bokovoy wrote:

>Добрый день!
>
>На этих выходных угораздило меня поиграться с Mac OS X (10.1.2) и
>поизучать ее внутренности. Напомню, что внутри это Unix-подобная система,
>с человеческим лицом по версии Apple.
>
>В процессе исследования появились следующие мысли:
>
>Работа с системой из-под привилегированного пользователя сведена к
>минимуму следующим образом. Пользователь может бфть помечен как "имеющий
>возможность администрировать систему" и в этом случае он включается в
>группу admins, на которую существует настройка sudo -- любой член этой
>группы может выполнять любую операцию. В результате, большинство операций,
>требующих изменение конфигурационных файлов и (пере)запуск сервисов,
>сводится к вводу пользовательского пароля.
>
>Таким образом можно было бы реализовать памятное (для тех, кто работает в
>офисе) предложение ZerG-а о возможности расшаривания ресурсов. То есть,
>можно было бы написать приложение (хотя оно, насколько я понимаю, уже есть) 
>для исправления конфигов и настроить соответствующим образом sudo, чтобы
>пользователь, входящий в определенную группу, мог экспортировать свои
>ресурсы.
>
>Подобные настройки можно было бы сделать для каждой группы административных
>операций, а управление пользовательскими "возможностями" внести в
>планируемый конфигуратор системы.
>
>В Mac OS X эти настройки выглядели следующим образом (в sudo):
>%admins     ALL=(ALL) ALL
>
>В нашем случае их можно урезать и специализировать, например:
>
>/etc/sudo.d/exporters:
>User_Alias EXPORTERS = список пользователей, которым разрешено экспортирование ресурсов
>Cmnd_Alias  EXPORTER = /usr/sbin/exporter (программа, ответственная за изменение конфигурации)
>EXPORTERS	имя хоста = EXPORTER
>
>Аналогично и другие операции. 
>
Безусловно интересно, в особенности для "открытых для всех" 
дистрибутивов типа Junior.

>
>
>Мнения?
>