Re: [devel] Идея по исправлению настроек по =?koi8-r?Q?_=D5=CD=CF=CC=DE=C1=C

[Denis Ovsienko <pilot@dgtu.donetsk.ua>]

> //Надеюсь все мы понимаем, что никто, ни я, ни Вы, ни фирма АЛЬТ, ни
> компьютер не имеет права навязывать человеку другой образ жизни.//
Тем более, всё равно ничего и не выйдет. :)

> Здесь идёт речь о НЕ сетевых компьютерах. ПЕРСОНАЛЬНЫЙ компьютер можно
> рассматривать как своего рода продолжение хозяина. Он должен
> обеспечивать максимальный комфорт, скорость и эффективность работы
> одного человека при минимальных требованиях "безопасности". Это
> означает, что случаев, когда машина отказывается выполнять указания
> своего хозяина быть не должно по определению, а требования ввода пароля
> и просьбы "позвать администратора", должны сводиться к минимуму. Одна из
> причин популярности ДОС и Вин9х состоит как раз в полноте контроля и
> отсутствии препятствий в виде прав доступа и разного рода блокировок.
Давайте из Линукса виндов не делать. Если операционка отказывается
выполнять требования своего хозяина, то возможны следующие случаи:
1. в ОС нет такой возможности by design, то есть в принципе
2. в принципе процесс возможен, но требует установки пакетов/настройки
3. препятствий на самом деле нет, просто пользователь не знает, какими
средствами воспользоваться и как. я вот, например, несколько месяцев ходил
смотреть фильмы на виндовую машину, пока меня не ткнули циферблатом в xine
& mplayer, причём уже установленные :)
4. пользователь сам не знает, чего он хочет, но отчёта в этом себе не
отдаёт.
Стоит ли ради случая 4 затачивать систему под дилетанта ? Лучше потратить
то же время с большей пользой, чтобы случаи 1, 2 и 3 приобрели
показательность, характерность, что ли. Или явно обозначить их в том же
руководстве и снабдить дальнейшими ссылками по теме.

> Пример: Необходима возможность задания пустого пароля (для беспарольного
> входа) стандартными средствами. (Сейчас passwd выдаёт ошибку.) Для
> некоторых машин очень желателен прозрачный доступ к большинству
> "рутовых" команд и программ, таких как ifconfig, service и т.п. без
> необходимости специально настраивать sudo вручную. Нужен supermount.
Нужны конкретные примеры-комментарии в sudoers и вопрос отпадёт сам собой.
Во FreeBSD довольно удачно это придумано, не побоюсь указать на это.

> > Это как? Зачем нам делать невозможным одновременную работу нескольких
> > пользователей.
> Не надо специально делать её невозможной. "Случай 2" - это машины, где
> есть лишь 1 комплект монитор+мышь+клавиатура и нет физической
> возможности или задачи подключать дополнительные удалённые терминалы и
> клиентов по сети. В результате получается, что в каждый отдельный момент
> времени с машиной работает ОДИН и только ОДИН человек.
Это смотря что считать одновременной работой. Вот у меня дома, например,
gdm запускает 2 X-сервера, на которых постоянно висят 2 сессии: моя и моей
жены. Переключение между ними может происходить довольно часто. Подрастёт
сын --- будет 3 :)

> Пример проблемы: Существующие в Мастере стандартные настройки pam для
> shutdown, reboot, poweroff затрудняют работу в ситуациях 1 и 2,
> вынуждают совершать лишнние действия и терять время. Их исправление
> требует глубоких знаний, которые есть не у всех. (Результат -
> неудовлетворённость пользователей, выключение компьютеров "рубильником"
> и вполне материальный ущерб.)
Опять же, если в настройках gdm разрешёны перезагрузка/выключение ОС, то
проблема отпадёт сама собой. Много ли найдётся людей, желающих сделать
shutdown, даже не закрывая сессию ? Если много, можно где-нибудь отразить
тот очевидный момент, что если кто-то открывал сессию, то нужно же её
закрыть, правда ? В случае же с autologin пользователь даже не догадается,
что за него кто-то уже открыл сессию, а закрывать нужно самому. Я бы не
догадался, будь я новичком.

> > > В новом инсталляторе необходимо предусмотреть способ выбора роли машины
> > > и корректировки стандартных настроек в соответствии с ней.
> > Роль выбирать несомненно надо, но сильно снижать уровень безопасности
> > машины... а если вдруг у человека интернет появился?
> Тут нужна настройка сетевых фильтров, а не системы в целом. Для простого
> пользования Интернетом можно написать общие эталонные правила и ставить
> их по умолчанию на сетевые интерфейсы, которые ведут в Интернет.
Ну-ну. И что скажет пользователь, загрузив с сайта какого-нибудь шутника
скрипт, содержащий sudo dd if=/dev/zero of=/dev/hda и запустив его ? Даже
если из параноидальных мотивов ходит в инет из-под другой учётной записи ?

P.S. Всё вышенаписанное мной является, естественно, моим личным мнением на
момент написания письма ;) На мой взгляд, есть более интересные и нужные
задачи. Перефразируя недавно мной прочитанное: "зачем красить стены,
которые всё равно завтра снесут ?". Прилаживая к машине спойлеры и
декоративные антикрылья, не стОит забывать о более важных деталях под
капотом. В конце концов, вместо этих споров переделали бы уже мантис,
чтобы люди могли нормально обработать/закрыть/удалить баги !


    ДонНТУ Информационный центр
    Денис Овсиенко
    DO4-UANIC