* Re: [devel] Информация к размышлению о настройках
2002-04-01 13:27 [devel] Информация к размышлению о настройках Alexander Bokovoy
@ 2002-04-01 12:42 ` Stanislav Ievlev
2002-04-01 13:47 ` Yura Zotov
` (4 subsequent siblings)
5 siblings, 0 replies; 22+ messages in thread
From: Stanislav Ievlev @ 2002-04-01 12:42 UTC (permalink / raw)
To: devel
Alexander Bokovoy wrote:
>Добрый день!
>
>На этих выходных угораздило меня поиграться с Mac OS X (10.1.2) и
>поизучать ее внутренности. Напомню, что внутри это Unix-подобная система,
>с человеческим лицом по версии Apple.
>
>В процессе исследования появились следующие мысли:
>
>Работа с системой из-под привилегированного пользователя сведена к
>минимуму следующим образом. Пользователь может бфть помечен как "имеющий
>возможность администрировать систему" и в этом случае он включается в
>группу admins, на которую существует настройка sudo -- любой член этой
>группы может выполнять любую операцию. В результате, большинство операций,
>требующих изменение конфигурационных файлов и (пере)запуск сервисов,
>сводится к вводу пользовательского пароля.
>
>Таким образом можно было бы реализовать памятное (для тех, кто работает в
>офисе) предложение ZerG-а о возможности расшаривания ресурсов. То есть,
>можно было бы написать приложение (хотя оно, насколько я понимаю, уже есть)
>для исправления конфигов и настроить соответствующим образом sudo, чтобы
>пользователь, входящий в определенную группу, мог экспортировать свои
>ресурсы.
>
>Подобные настройки можно было бы сделать для каждой группы административных
>операций, а управление пользовательскими "возможностями" внести в
>планируемый конфигуратор системы.
>
>В Mac OS X эти настройки выглядели следующим образом (в sudo):
>%admins ALL=(ALL) ALL
>
>В нашем случае их можно урезать и специализировать, например:
>
>/etc/sudo.d/exporters:
>User_Alias EXPORTERS = список пользователей, которым разрешено экспортирование ресурсов
>Cmnd_Alias EXPORTER = /usr/sbin/exporter (программа, ответственная за изменение конфигурации)
>EXPORTERS имя хоста = EXPORTER
>
>Аналогично и другие операции.
>
Безусловно интересно, в особенности для "открытых для всех"
дистрибутивов типа Junior.
>
>
>Мнения?
>
^ permalink raw reply [flat|nested] 22+ messages in thread
* [devel] Информация к размышлению о настройках
@ 2002-04-01 13:27 Alexander Bokovoy
2002-04-01 12:42 ` Stanislav Ievlev
` (5 more replies)
0 siblings, 6 replies; 22+ messages in thread
From: Alexander Bokovoy @ 2002-04-01 13:27 UTC (permalink / raw)
To: devel
Добрый день!
На этих выходных угораздило меня поиграться с Mac OS X (10.1.2) и
поизучать ее внутренности. Напомню, что внутри это Unix-подобная система,
с человеческим лицом по версии Apple.
В процессе исследования появились следующие мысли:
Работа с системой из-под привилегированного пользователя сведена к
минимуму следующим образом. Пользователь может бфть помечен как "имеющий
возможность администрировать систему" и в этом случае он включается в
группу admins, на которую существует настройка sudo -- любой член этой
группы может выполнять любую операцию. В результате, большинство операций,
требующих изменение конфигурационных файлов и (пере)запуск сервисов,
сводится к вводу пользовательского пароля.
Таким образом можно было бы реализовать памятное (для тех, кто работает в
офисе) предложение ZerG-а о возможности расшаривания ресурсов. То есть,
можно было бы написать приложение (хотя оно, насколько я понимаю, уже есть)
для исправления конфигов и настроить соответствующим образом sudo, чтобы
пользователь, входящий в определенную группу, мог экспортировать свои
ресурсы.
Подобные настройки можно было бы сделать для каждой группы административных
операций, а управление пользовательскими "возможностями" внести в
планируемый конфигуратор системы.
В Mac OS X эти настройки выглядели следующим образом (в sudo):
%admins ALL=(ALL) ALL
В нашем случае их можно урезать и специализировать, например:
/etc/sudo.d/exporters:
User_Alias EXPORTERS = список пользователей, которым разрешено экспортирование ресурсов
Cmnd_Alias EXPORTER = /usr/sbin/exporter (программа, ответственная за изменение конфигурации)
EXPORTERS имя хоста = EXPORTER
Аналогично и другие операции.
Мнения?
--
/ Alexander Bokovoy
Software architect and analyst // SaM-Solutions Ltd.
---
Test-tube babies shouldn't throw stones.
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [devel] Информация к размышлению о настройках
2002-04-01 13:27 [devel] Информация к размышлению о настройках Alexander Bokovoy
2002-04-01 12:42 ` Stanislav Ievlev
@ 2002-04-01 13:47 ` Yura Zotov
2002-04-01 13:59 ` [devel] Re: [devel] Информация кразмышлению " cornet
2002-04-01 14:59 ` [devel] Информация к размышлению " S. Budnevitch
` (3 subsequent siblings)
5 siblings, 1 reply; 22+ messages in thread
From: Yura Zotov @ 2002-04-01 13:47 UTC (permalink / raw)
To: devel
On Mon, Apr 01, 2002 at 04:27:56PM +0300, Alexander Bokovoy wrote:
> Добрый день!
>
<skip>
> В Mac OS X эти настройки выглядели следующим образом (в sudo):
> %admins ALL=(ALL) ALL
>
> В нашем случае их можно урезать и специализировать, например:
>
> /etc/sudo.d/exporters:
> User_Alias EXPORTERS = список пользователей, которым разрешено экспортирование ресурсов
> Cmnd_Alias EXPORTER = /usr/sbin/exporter (программа, ответственная за изменение конфигурации)
> EXPORTERS имя хоста = EXPORTER
>
> Аналогично и другие операции.
>
> Мнения?
Давно пора. Так как многим довольно трудно сами разобраться с
sudo, особенно глядя в начало man sudoers.
Я за, даже готов помогать под чутким руководством.
--
Юрий А. Зотов
^ permalink raw reply [flat|nested] 22+ messages in thread
* [devel] Re: [devel] Информация кразмышлению о настройках
2002-04-01 13:47 ` Yura Zotov
@ 2002-04-01 13:59 ` cornet
0 siblings, 0 replies; 22+ messages in thread
From: cornet @ 2002-04-01 13:59 UTC (permalink / raw)
To: devel
Yura Zotov wrote:
>
> On Mon, Apr 01, 2002 at 04:27:56PM +0300, Alexander Bokovoy wrote:
> > Добрый день!
> >
>
> <skip>
>
> > В Mac OS X эти настройки выглядели следующим образом (в sudo):
> > %admins ALL=(ALL) ALL
> >
> > В нашем случае их можно урезать и специализировать, например:
> >
> > /etc/sudo.d/exporters:
> > User_Alias EXPORTERS = список пользователей, которым разрешено экспортирование ресурсов
> > Cmnd_Alias EXPORTER = /usr/sbin/exporter (программа, ответственная за изменение конфигурации)
> > EXPORTERS имя хоста = EXPORTER
> >
> > Аналогично и другие операции.
> >
> > Мнения?
>
> Давно пора. Так как многим довольно трудно сами разобраться с
> sudo, особенно глядя в начало man sudoers.
>
> Я за, даже готов помогать под чутким руководством.
Да, хорошее предложение. А то многие любят спрашивать - "а как
мне папочку расшарить" и тому подобные действия... Не рута же
давать для этого. Во многих случаях такая возможность будет
полезной, особенно для домашних пользователей и малых офисов.
--
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [devel] Информация к размышлению о настройках
2002-04-01 13:27 [devel] Информация к размышлению о настройках Alexander Bokovoy
2002-04-01 12:42 ` Stanislav Ievlev
2002-04-01 13:47 ` Yura Zotov
@ 2002-04-01 14:59 ` S. Budnevitch
2002-04-01 15:27 ` Alexander Bokovoy
2002-04-01 15:12 ` [devel] Информация к размышлению " Sir Raorn
` (2 subsequent siblings)
5 siblings, 1 reply; 22+ messages in thread
From: S. Budnevitch @ 2002-04-01 14:59 UTC (permalink / raw)
To: devel
On Mon, Apr 01, 2002 at 04:27:56PM +0300, Alexander Bokovoy wrote:
> В нашем случае их можно урезать и специализировать, например:
>
> /etc/sudo.d/exporters:
> User_Alias EXPORTERS = список пользователей, которым разрешено экспортирование ресурсов
> Cmnd_Alias EXPORTER = /usr/sbin/exporter (программа, ответственная за изменение конфигурации)
> EXPORTERS имя хоста = EXPORTER
>
> Аналогично и другие операции.
>
> Мнения?
Отрицательное мнение. Всякие операции по расшариванию ресурсов должны
производиться пользователем самостоятельно, в здравом уме и доброй
памяти. В windows для облегчения подобных операция существует "служба
доступа к файлам и принтерам сети microsoft", сама по себе
безвредная, но из-за неправильных настроек ставшая кошмаром для ISP (и
не только) и раем для кулхацкеров, так как с ее помощью воруется большая
часть пользовательских паролей. Мне кажется, стоит учиться на таких
ошибках. Если я в чем-то не прав, с удовольствием выслушаю другие мнения.
По-моему лучше такие вещи подробно документировать, а не думать за
пользователя. Возможно стоит составить "правильные" конфиги (как это сделано в
postfix'е) и положить их в %doc.
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [devel] Информация к размышлению о настройках
2002-04-01 13:27 [devel] Информация к размышлению о настройках Alexander Bokovoy
` (2 preceding siblings ...)
2002-04-01 14:59 ` [devel] Информация к размышлению " S. Budnevitch
@ 2002-04-01 15:12 ` Sir Raorn
2002-04-01 15:17 ` Alexander Bokovoy
2002-04-01 17:38 ` [devel] " Michael Shigorin
2002-04-01 15:22 ` [devel] Re: [devel] Информация к размышлению онастройках Andrey Orlov
2002-04-03 16:04 ` [devel] Информация к размышлению о настройках Dmitry V. Levin
5 siblings, 2 replies; 22+ messages in thread
From: Sir Raorn @ 2002-04-01 15:12 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 400 bytes --]
On Mon, Apr 01, 2002 at 05:27:56PM +0400, Alexander Bokovoy wrote:
> На этих выходных угораздило меня поиграться с Mac OS X (10.1.2) и
> поизучать ее внутренности. Напомню, что внутри это Unix-подобная
> система, с человеческим лицом по версии Apple.
О, кстати, а какие мысли есть по поводу GNUstep? Я его как раз
потихоньку собираю...
--
Regards, Sir Raorn.
AIF5-RIPN, Binec System Administrator.
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [devel] Информация к размышлению о настройках
2002-04-01 15:12 ` [devel] Информация к размышлению " Sir Raorn
@ 2002-04-01 15:17 ` Alexander Bokovoy
2002-04-01 17:38 ` [devel] " Michael Shigorin
1 sibling, 0 replies; 22+ messages in thread
From: Alexander Bokovoy @ 2002-04-01 15:17 UTC (permalink / raw)
To: devel
On Mon, Apr 01, 2002 at 07:12:32PM +0400, Sir Raorn wrote:
> On Mon, Apr 01, 2002 at 05:27:56PM +0400, Alexander Bokovoy wrote:
> > На этих выходных угораздило меня поиграться с Mac OS X (10.1.2) и
> > поизучать ее внутренности. Напомню, что внутри это Unix-подобная
> > система, с человеческим лицом по версии Apple.
> О, кстати, а какие мысли есть по поводу GNUstep? Я его как раз
> потихоньку собираю...
Пока никаких. Мне он в текущем состоянии не понравился.
--
/ Alexander Bokovoy
Software architect and analyst // SaM-Solutions Ltd.
---
Q: What's a WASP's idea of open-mindedness?
A: Dating a Canadian.
^ permalink raw reply [flat|nested] 22+ messages in thread
* [devel] Re: [devel] Информация к размышлению онастройках
2002-04-01 13:27 [devel] Информация к размышлению о настройках Alexander Bokovoy
` (3 preceding siblings ...)
2002-04-01 15:12 ` [devel] Информация к размышлению " Sir Raorn
@ 2002-04-01 15:22 ` Andrey Orlov
2002-04-01 17:39 ` [devel] Re: Информация к размышлению о настройках Michael Shigorin
2002-04-03 16:04 ` [devel] Информация к размышлению о настройках Dmitry V. Levin
5 siblings, 1 reply; 22+ messages in thread
From: Andrey Orlov @ 2002-04-01 15:22 UTC (permalink / raw)
To: devel
On Monday 01 April 2002 17:27, you wrote:
> На этих выходных угораздило меня поиграться с Mac OS X (10.1.2) и
[skip]
> Аналогично и другие операции.
> Мнения?
Мое мнение сводится к тому, что я так всегда и делаю. Уже три года - с тех
пор как потребовалось дать возможность монтировать cd своей секретарше ;).
Еще рекомендую для таких операций засунуть в profile.d тулзу, создающую алиасы
для всех разрешенных команд, например
alias mount='sudo mount', в результате пользователь пишет mount, и его либо
спрашивают пароль (если он получил ее через sudo), либо дают выполнить
команду так (если он право имеет), либо говорят нет такой команды.
--
Андрей Орлов
ведущий инженер IIG
101028, Москва, Хохловский пер.,
10, стр. 6
тел.: +7 (095) 9174920
тел/факс: +7 (095) 2582524
www.iig.ru, aorlov@iig.ru
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [devel] Информация к размышлению о настройках
2002-04-01 14:59 ` [devel] Информация к размышлению " S. Budnevitch
@ 2002-04-01 15:27 ` Alexander Bokovoy
2002-04-01 17:48 ` S. Budnevitch
0 siblings, 1 reply; 22+ messages in thread
From: Alexander Bokovoy @ 2002-04-01 15:27 UTC (permalink / raw)
To: devel
On Mon, Apr 01, 2002 at 06:59:03PM +0400, S. Budnevitch wrote:
> On Mon, Apr 01, 2002 at 04:27:56PM +0300, Alexander Bokovoy wrote:
> > В нашем случае их можно урезать и специализировать, например:
> >
> > /etc/sudo.d/exporters:
> > User_Alias EXPORTERS = список пользователей, которым разрешено экспортирование ресурсов
> > Cmnd_Alias EXPORTER = /usr/sbin/exporter (программа, ответственная за изменение конфигурации)
> > EXPORTERS имя хоста = EXPORTER
> >
> > Аналогично и другие операции.
> >
> > Мнения?
>
> Отрицательное мнение. Всякие операции по расшариванию ресурсов должны
> производиться пользователем самостоятельно, в здравом уме и доброй
> памяти. В windows для облегчения подобных операция существует "служба
> доступа к файлам и принтерам сети microsoft", сама по себе
> безвредная, но из-за неправильных настроек ставшая кошмаром для ISP (и
> не только) и раем для кулхацкеров, так как с ее помощью воруется большая
> часть пользовательских паролей. Мне кажется, стоит учиться на таких
> ошибках. Если я в чем-то не прав, с удовольствием выслушаю другие мнения.
Я не согласен с Вашим подходом. Речь шла не о конкретной реализации
расшаривания файлов, а о построении системы автоматизации некоторых
административных действий, со сведением необходимости применения
привилегированных прав к минимуму. Неужели отсутствие грамотной настройки
будем меньшим кошмаром?
> По-моему лучше такие вещи подробно документировать, а не думать за
> пользователя. Возможно стоит составить "правильные" конфиги (как это сделано в
> postfix'е) и положить их в %doc.
Чем это отличается от лежащих в /etc/sudo.d/* правильных настроек с
отсутствующими списками пользователей?
--
/ Alexander Bokovoy
Software architect and analyst // SaM-Solutions Ltd.
---
The only thing to do with good advice is pass it on. It is never any
use to oneself.
-- Oscar Wilde
^ permalink raw reply [flat|nested] 22+ messages in thread
* [devel] Re: Информация к размышлению о настройках
2002-04-01 15:12 ` [devel] Информация к размышлению " Sir Raorn
2002-04-01 15:17 ` Alexander Bokovoy
@ 2002-04-01 17:38 ` Michael Shigorin
2002-04-01 18:23 ` Aleksey Novodvorsky
2002-04-02 6:39 ` Sir Raorn
1 sibling, 2 replies; 22+ messages in thread
From: Michael Shigorin @ 2002-04-01 17:38 UTC (permalink / raw)
To: devel; +Cc: Sir Raorn
[-- Attachment #1.1: Type: text/plain, Size: 618 bytes --]
On Mon, Apr 01, 2002 at 07:12:32PM +0400, Sir Raorn wrote:
> О, кстати, а какие мысли есть по поводу GNUstep? Я его как раз
> потихоньку собираю...
Есть такие мысли, что за него хотим взяться с Витей Советовым
(обитает в mandrake-russian, в т.ч.). Он, кстати, рассматривал
сейчас бутающийся с CD линукс по имени Simply GNUStep.
Это -- в post-Master TODO.....
PS: по поводу "бутающихся" -- на http://www.linux.zp.ua делают
"офисный" evaluation linux, который тоже live CD. Диск нам уже
пробросили, но я еще не видел.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ http://visa.chem.univ.kiev.ua/~mike/
[-- Attachment #1.2: TODO --]
[-- Type: text/plain, Size: 1099 bytes --]
autofs.pl ??
avfs
fslint
http://linuxperf.nl.linux.org
nvclock ?
powertweak ?
abuse (?)
amphetamine (?)
xblast
plib ??
freecnc ??
tuxtype ?
pyro ? -- pyro-1.5-alt1.src.rpm, w/o buildreq run -- NB: grip author
kguitar ??
rosegarden ??
pitchtune ?
alsaout ?
cthugha !!
synaesthesia
gforce
xmms-goom
xmms-metronom
xmms-midi (?)
xmms-portshow
xmms-recorder
xmms_speakers
xplsisnjasp (?)
wmdiscotux
netscape-midi-plugin
speak_freely
xspeakfree
mtr
bing
trafshow
ntop ??
ethtool ?
boa
newsq
LinkChecker
shugarplum
webget ??
gotmail ??
leafwa
tunez ?
chemtool
oelib ??
babel ??
gperiodic ???
rasmol ??
grace ??
yacas
enca !! [+uk,+be?]
xcode
tidy
remind !!
htmldoc ?
txt2html
console-tools-cyrillic
libwmf ??
pstoedit ??
rtf2latex2eUnix ??
pine2mutt ??
gtkgrepmail ??
visual_regexp ??
kbd-make ??
sloccount
ispell-ua ??
mdbtools ??
sharefonts (nosrc)
freefonts (nosrc)
wmfire
wmnd
wmix !! -- wmix-3.0-alt1.src.rpm, manpage revamped; w/o build
wmwfu ?
gnustep !! (VS)
treeps ?
wmaker-desktop == from scratch
tkWorld ??
xnc ??
xpad (gtk2) ?
ytree ??
gaby ?
iceb ??? -- 5.22 builds, 5.25 out
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
^ permalink raw reply [flat|nested] 22+ messages in thread
* [devel] Re: Информация к размышлению о настройках
2002-04-01 15:22 ` [devel] Re: [devel] Информация к размышлению онастройках Andrey Orlov
@ 2002-04-01 17:39 ` Michael Shigorin
2002-04-01 18:36 ` [devel] Re: Информация к размышлению онастройках Andrey Orlov
2002-04-02 6:09 ` [devel] Re: sudo aliases (was: Информация к размышлению о настройках) Vyt
0 siblings, 2 replies; 22+ messages in thread
From: Michael Shigorin @ 2002-04-01 17:39 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 288 bytes --]
On Mon, Apr 01, 2002 at 07:22:03PM +0400, Andrey Orlov wrote:
> alias mount='sudo mount'
overkill -- тут достаточно правильно розданной группы. Эта тема
уже обсуждена и вроде бы закрыта...
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ http://visa.chem.univ.kiev.ua/~mike/
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [devel] Информация к размышлению о настройках
2002-04-01 15:27 ` Alexander Bokovoy
@ 2002-04-01 17:48 ` S. Budnevitch
2002-04-02 7:41 ` [devel] Re: [devel] Информация кразмышлению " cornet
0 siblings, 1 reply; 22+ messages in thread
From: S. Budnevitch @ 2002-04-01 17:48 UTC (permalink / raw)
To: devel
On Mon, Apr 01, 2002 at 06:27:40PM +0300, Alexander Bokovoy wrote:
> Я не согласен с Вашим подходом. Речь шла не о конкретной реализации
> расшаривания файлов, а о построении системы автоматизации некоторых
> административных действий, со сведением необходимости применения
> привилегированных прав к минимуму. Неужели отсутствие грамотной настройки
> будем меньшим кошмаром?
Я не против автоматизации вообще, наоборот предложенная схема довольно
симпатична - я против автоматизации опасных действий и передачи прав на
такие действия пользователям. Экспорт ресурсов как раз относится к таким
действиям, потому что требует от пользователя минимальных знаний, например,
нужно хотя бы указать для какой подсети будут видны эти ресурсы. Уж лучше один
человек - администратор прочитает документацию и настроет все правильно,
чем пользователь, которому дали соответсвующие права, расшарит ~ для всего
интернета.
> > По-моему лучше такие вещи подробно документировать, а не думать за
> > пользователя. Возможно стоит составить "правильные" конфиги (как это сделано в
> > postfix'е) и положить их в %doc.
> Чем это отличается от лежащих в /etc/sudo.d/* правильных настроек с
> отсутствующими списками пользователей?
Практически ничем.
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [devel] Re: Информация к размышлению о настройках
2002-04-01 17:38 ` [devel] " Michael Shigorin
@ 2002-04-01 18:23 ` Aleksey Novodvorsky
2002-04-01 20:29 ` Michael Shigorin
2002-04-02 6:39 ` Sir Raorn
1 sibling, 1 reply; 22+ messages in thread
From: Aleksey Novodvorsky @ 2002-04-01 18:23 UTC (permalink / raw)
To: devel
Michael Shigorin wrote:
> On Mon, Apr 01, 2002 at 07:12:32PM +0400, Sir Raorn wrote:
> > О, кстати, а какие мысли есть по поводу GNUstep? Я его как раз
> > потихоньку собираю...
> Есть такие мысли, что за него хотим взяться с Витей Советовым
> (обитает в mandrake-russian, в т.ч.). Он, кстати, рассматривал
> сейчас бутающийся с CD линукс по имени Simply GNUStep.
>
> Это -- в post-Master TODO.....
>
> PS: по поводу "бутающихся" -- на http://www.linux.zp.ua делают
> "офисный" evaluation linux, который тоже live CD. Диск нам уже
> пробросили, но я еще не видел.
Мне кажется, что live CD только отбивают охоту пользоваться Linux.
Не случайно SuSE давно отказалась от этой идеи.
Rgrds, AEN
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [devel] Re: Информация к размышлению онастройках
2002-04-01 17:39 ` [devel] Re: Информация к размышлению о настройках Michael Shigorin
@ 2002-04-01 18:36 ` Andrey Orlov
2002-04-02 6:09 ` [devel] Re: sudo aliases (was: Информация к размышлению о настройках) Vyt
1 sibling, 0 replies; 22+ messages in thread
From: Andrey Orlov @ 2002-04-01 18:36 UTC (permalink / raw)
To: devel
On Monday 01 April 2002 21:39, you wrote:
> On Mon, Apr 01, 2002 at 07:22:03PM +0400, Andrey Orlov wrote:
> > alias mount='sudo mount'
> overkill -- тут достаточно правильно розданной группы. Эта тема
> уже обсуждена и вроде бы закрыта...
Я не про mount, mount только как пример привел, я про то, что бы команды,
разрешенные через sudo, а не непосрдественно, алиасились - чбы пользователю
не вводить каждый раз sudo <smbd>, тем более, что распарсить под это дело
sudoers не трудно. Раз уж пошли обсжудать решение этого через sudo, то
это самое место напомнить, а что для mount sudo overkill ктож спорит....
--
BstRgrds --
-- Чертова Кукла -x---X;-) -x---X;-)
^ permalink raw reply [flat|nested] 22+ messages in thread
* [devel] Re: Информация к размышлению о настройках
2002-04-01 18:23 ` Aleksey Novodvorsky
@ 2002-04-01 20:29 ` Michael Shigorin
0 siblings, 0 replies; 22+ messages in thread
From: Michael Shigorin @ 2002-04-01 20:29 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 912 bytes --]
On Mon, Apr 01, 2002 at 10:23:16PM +0400, Aleksey Novodvorsky wrote:
> > PS: по поводу "бутающихся" -- на http://www.linux.zp.ua делают
> > "офисный" evaluation linux, который тоже live CD. Диск нам уже
> Мне кажется, что live CD только отбивают охоту пользоваться Linux.
> Не случайно SuSE давно отказалась от этой идеи.
Сдается мне, и они, и RH (точнее, я "это" гонял в виде WGS
LinuxPro) отказались и по причине утолщения base system, и по
причине того, что с некоторых пор отрезать винта под линукс стало
проще, да и степень принятия в народе подросла.
А по крайней мере одно применение у них здраво продумано --
носибельный дистр, который работает с носибельным же USB-драйвом
(почта, ключики) и позволяет чувствовать себя почти как дома
везде.
В общем, письмо автора (и некоторые соображения) ушли лично.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ http://visa.chem.univ.kiev.ua/~mike/
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
^ permalink raw reply [flat|nested] 22+ messages in thread
* [devel] Re: sudo aliases (was: Информация к размышлению о настройках)
2002-04-01 17:39 ` [devel] Re: Информация к размышлению о настройках Michael Shigorin
2002-04-01 18:36 ` [devel] Re: Информация к размышлению онастройках Andrey Orlov
@ 2002-04-02 6:09 ` Vyt
1 sibling, 0 replies; 22+ messages in thread
From: Vyt @ 2002-04-02 6:09 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 510 bytes --]
On Mon, 1 Apr 2002 20:39:29 +0300
Michael Shigorin <mike@lic145.kiev.ua> wrote:
> On Mon, Apr 01, 2002 at 07:22:03PM +0400, Andrey Orlov wrote:
> > alias mount='sudo mount'
> overkill -- тут достаточно правильно розданной группы. Эта тема
> уже обсуждена и вроде бы закрыта...
Не помню обсуждения. Полностью согласен с предыдущим оратором.
Постоянно приходилось sudo command, пока не доперло alias
сделать, это же штатная ситуация.
<skipped>
--
Regards, Vyt
mailto: vyt@vzljot.ru
JID: vyt@vzljot.ru
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 22+ messages in thread
* [devel] Re: Информация к размышлению о настройках
2002-04-01 17:38 ` [devel] " Michael Shigorin
2002-04-01 18:23 ` Aleksey Novodvorsky
@ 2002-04-02 6:39 ` Sir Raorn
1 sibling, 0 replies; 22+ messages in thread
From: Sir Raorn @ 2002-04-02 6:39 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 626 bytes --]
On Mon, Apr 01, 2002 at 09:38:08PM +0400, Michael Shigorin wrote:
> > О, кстати, а какие мысли есть по поводу GNUstep? Я его как раз
> > потихоньку собираю...
> Есть такие мысли, что за него хотим взяться с Витей Советовым
Если есть желание, ftp://hell.binec.ru/pub/GNUstep - там лежат мои
самосборные пакеты под Sisyphus... Правда, сыроватые пока...
> (обитает в mandrake-russian, в т.ч.). Он, кстати, рассматривал
> сейчас бутающийся с CD линукс по имени Simply GNUStep.
Еще сслка: irc://irc.openprojects.net/#GNUstep
Заходите, а то французы уже достали :-)
--
Regards, Sir Raorn.
AIF5-RIPN, Binec System Administrator.
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
^ permalink raw reply [flat|nested] 22+ messages in thread
* [devel] Re: [devel] Информация кразмышлению о настройках
2002-04-01 17:48 ` S. Budnevitch
@ 2002-04-02 7:41 ` cornet
2002-04-02 9:40 ` [devel] Re: [devel]Информация кразмышлению онастройках Andrey Orlov
0 siblings, 1 reply; 22+ messages in thread
From: cornet @ 2002-04-02 7:41 UTC (permalink / raw)
To: devel
"S. Budnevitch" wrote:
>
> On Mon, Apr 01, 2002 at 06:27:40PM +0300, Alexander Bokovoy wrote:
> > Я не согласен с Вашим подходом. Речь шла не о конкретной реализации
> > расшаривания файлов, а о построении системы автоматизации некоторых
> > административных действий, со сведением необходимости применения
> > привилегированных прав к минимуму. Неужели отсутствие грамотной настройки
> > будем меньшим кошмаром?
>
> Я не против автоматизации вообще, наоборот предложенная схема довольно
> симпатична - я против автоматизации опасных действий и передачи прав на
> такие действия пользователям. Экспорт ресурсов как раз относится к таким
> действиям, потому что требует от пользователя минимальных знаний, например,
> нужно хотя бы указать для какой подсети будут видны эти ресурсы. Уж лучше один
> человек - администратор прочитает документацию и настроет все правильно,
> чем пользователь, которому дали соответсвующие права, расшарит ~ для всего
> интернета.
Дело вот в чем. Я знаю достаточно ммаленьких конторок, гед
просто НЕТУ админа. Там есть 5-6 компов, зачастую да же без
инета, только локалка. Рулят такими местами обычно слегка
продвинутые юзеры, сидящие за одним из компов. Обычно это
молодые манагеры, обладающие должной подвижностью ума и знающие
кой чо о компах. И эти люди способны худо-бедно поднять сетку
под виндой, расшарить папочки и принтеры. Под виндой это сделано
_удобно_, хотя и категорически несекъюрно конечно.
Я разумеется не призываю копировать маздайный опыт, я просто
прошу обратить внимание на тот самый рынок мельчайших офисов,
где не ступала нога админа. В таких местах винда сейчас правит
безраздельно просто по тому, что ее может настроить любой
средней продвинутости юзер, который кроме кнопочек ничего и не
знает. А Линух им не по зубам, слова "прочтите документацию"
приводят их в ужас, а человек произнесший эти слова становится
врагом. Между тем, это ощутимая часть рынка, очень ощутимая, и
ИМХО, за нее надо так же бороться.
skip.
--
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [devel] Re: [devel]Информация кразмышлению онастройках
2002-04-02 7:41 ` [devel] Re: [devel] Информация кразмышлению " cornet
@ 2002-04-02 9:40 ` Andrey Orlov
2002-04-02 9:56 ` Anton B. Farygin
2002-04-02 10:15 ` [devel] Re: [devel]Информация кразмышлению о настройках Aleksey Novodvorsky
0 siblings, 2 replies; 22+ messages in thread
From: Andrey Orlov @ 2002-04-02 9:40 UTC (permalink / raw)
To: devel
On Tuesday 02 April 2002 11:41, you wrote:
> Я разумеется не призываю копировать маздайный опыт, я просто
> прошу обратить внимание на тот самый рынок мельчайших офисов,
[SKIP]
> врагом. Между тем, это ощутимая часть рынка, очень ощутимая, и
> ИМХО, за нее надо так же бороться.
Боюсь, что победивший в этой борьбе сам станет маздаем ;(. Я не против
аргументации, но чесгря победы на рынке ориентированом на ендюзеров
скорее боюсь, чем жажду: такая победа имеет все признаки поражения,
сопровождающегося полным разгромом. В самом деле : если победивший
приобрел те же самые признаки, что были у побежденного, то кто победил в
борьбе?
К сожалению, помимо общих слов о необходимости предложить другие более
эффективные решения для проблем ендюзера, я не могу ничего придумать, так
что мне остается только устранится от этой борьбы ;).
--
BstRgrds --
-- Andrey Orlov -x---X;-) -x---X;-)
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [devel] Re: [devel]Информация кразмышлению онастройках
2002-04-02 9:40 ` [devel] Re: [devel]Информация кразмышлению онастройках Andrey Orlov
@ 2002-04-02 9:56 ` Anton B. Farygin
2002-04-02 10:15 ` [devel] Re: [devel]Информация кразмышлению о настройках Aleksey Novodvorsky
1 sibling, 0 replies; 22+ messages in thread
From: Anton B. Farygin @ 2002-04-02 9:56 UTC (permalink / raw)
To: devel
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Andrey Orlov wrote:
|On Tuesday 02 April 2002 11:41, you wrote:
|
|>Я разумеется не призываю копировать маздайный опыт, я просто
|>прошу обратить внимание на тот самый рынок мельчайших офисов,
|
|
| [SKIP]
|
|>врагом. Между тем, это ощутимая часть рынка, очень ощутимая, и
|>ИМХО, за нее надо так же бороться.
|
|
|Боюсь, что победивший в этой борьбе сам станет маздаем ;(. Я не против
|аргументации, но чесгря победы на рынке ориентированом на ендюзеров
|скорее боюсь, чем жажду: такая победа имеет все признаки поражения,
|сопровождающегося полным разгромом. В самом деле : если победивший
|приобрел те же самые признаки, что были у побежденного, то кто победил в
|борьбе?
|
|К сожалению, помимо общих слов о необходимости предложить другие более
|эффективные решения для проблем ендюзера, я не могу ничего придумать, так
|что мне остается только устранится от этой борьбы ;).
|
Согласен. Это не тот рынок, на котором нужно побеждать.
Гораздо лучше поменять стратегию поведения этих самых менеджеров таким
образом, что бы они пользовались нашей технической поддержкой.
Rgds,
Rider
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQE8qYBpqohfd2vlwKsRAoEzAKCRNwKl4J3dydY6XzpXGxDKjqzaugCgoQ5E
HSzT4ZOgr9w4ehC4R3iO+SA=
=MZ0m
-----END PGP SIGNATURE-----
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [devel] Re: [devel]Информация кразмышлению о настройках
2002-04-02 9:40 ` [devel] Re: [devel]Информация кразмышлению онастройках Andrey Orlov
2002-04-02 9:56 ` Anton B. Farygin
@ 2002-04-02 10:15 ` Aleksey Novodvorsky
1 sibling, 0 replies; 22+ messages in thread
From: Aleksey Novodvorsky @ 2002-04-02 10:15 UTC (permalink / raw)
To: devel
Andrey Orlov wrote:
> On Tuesday 02 April 2002 11:41, you wrote:
>
> > Я разумеется не призываю копировать маздайный опыт, я просто
> > прошу обратить внимание на тот самый рынок мельчайших офисов,
>
> [SKIP]
>
> > врагом. Между тем, это ощутимая часть рынка, очень ощутимая, и
> > ИМХО, за нее надо так же бороться.
>
> Боюсь, что победивший в этой борьбе сам станет маздаем ;(. Я не против
> аргументации, но чесгря победы на рынке ориентированом на ендюзеров
> скорее боюсь, чем жажду: такая победа имеет все признаки поражения,
> сопровождающегося полным разгромом. В самом деле : если победивший
> приобрел те же самые признаки, что были у побежденного, то кто победил в
> борьбе?
>
Наш рынок -- рынок решений и подержки. До работы с "мельчайшими офисами" и
пользователями среднего уровня мы еще не доросли. Это очень требовательный,
малоденежный, тяжелый рынок и для реальной работы на нем нужны очень большие
вложения.
Конечно, если тот самый четьвертьставочный админ окажется энутзиастом Linux,
то наш долг ему помочь, но это не бизнес.
Вот когда в "мельчайшем офисе" появится выделенный сервер, то он должен
быть наш. А сервер в офисе повышает интеллект сотрудников :-)
Rgrds, Алексей
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [devel] Информация к размышлению о настройках
2002-04-01 13:27 [devel] Информация к размышлению о настройках Alexander Bokovoy
` (4 preceding siblings ...)
2002-04-01 15:22 ` [devel] Re: [devel] Информация к размышлению онастройках Andrey Orlov
@ 2002-04-03 16:04 ` Dmitry V. Levin
5 siblings, 0 replies; 22+ messages in thread
From: Dmitry V. Levin @ 2002-04-03 16:04 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 3531 bytes --]
On Mon, Apr 01, 2002 at 04:27:56PM +0300, Alexander Bokovoy wrote:
> В процессе исследования появились следующие мысли:
>
> Работа с системой из-под привилегированного пользователя сведена к
> минимуму следующим образом. Пользователь может быть помечен как "имеющий
> возможность администрировать систему" и в этом случае он включается в
> группу admins, на которую существует настройка sudo -- любой член этой
> группы может выполнять любую операцию. В результате, большинство операций,
> требующих изменение конфигурационных файлов и (пере)запуск сервисов,
> сводится к вводу пользовательского пароля.
>
> Таким образом можно было бы реализовать памятное (для тех, кто работает в
> офисе) предложение ZerG-а о возможности расшаривания ресурсов. То есть,
> можно было бы написать приложение (хотя оно, насколько я понимаю, уже есть)
> для исправления конфигов и настроить соответствующим образом sudo, чтобы
> пользователь, входящий в определенную группу, мог экспортировать свои
> ресурсы.
>
> Подобные настройки можно было бы сделать для каждой группы административных
> операций, а управление пользовательскими "возможностями" внести в
> планируемый конфигуратор системы.
>
> В Mac OS X эти настройки выглядели следующим образом (в sudo):
> %admins ALL=(ALL) ALL
>
> В нашем случае их можно урезать и специализировать, например:
>
> /etc/sudo.d/exporters:
> User_Alias EXPORTERS = список пользователей, которым разрешено экспортирование ресурсов
> Cmnd_Alias EXPORTER = /usr/sbin/exporter (программа, ответственная за изменение конфигурации)
> EXPORTERS имя хоста = EXPORTER
>
> Аналогично и другие операции.
>
> Мнения?
У всех предложений подобного плана, сводящихся к прозрачному
делегированию обычному пользователю административных прав, есть одна
принципиальная проблема.
Обычный пользователь, как правило, занимается "обычными" делами, запускает
"обычные" приложения, которые пишут, как правило, "обычные" программисты с
"обычными" представлениями о безопасности. Как следствие, эти "обычные"
программы на порядки более уязвимы, чем "системный" софт.
C'est la vie.
Как только этот самый обычный пользователь получает административные
полномочия, барьер между пользовательскими приложениями и системой
снимается. Так, обычный web browser, почтовый клиент, etc. получают
возможность администрировать систему; вместе с ними те же права получают
злоумышленники, пользующиеся наименее защищенными "обычными" программами
для вторжения в систему.
Можно возразить: в предложенном примере конфигурации sudo можно настроить
таким образом, чтобы административные действия требовали аутентификации.
К сожалению, в случае обычной парольной аутентификации это не помогает:
злоумышленник может дождаться, пока пользователь введет пароль, захватить
его и использовать в дальнейшем.
Предложенная схема могла бы быть жизнеспособной только в случае, если для
каждого акта администрирования пользователь должен был бы быть
аутентифицирован средствами, на которые никаким образом не могут повлиять
обычные программы. Это принципиально возможно, например, при
соответствующей реализации системы аутентификации на основе электронных
ключей.
Regards,
Dmitry
+-------------------------------------------------------------------------+
Dmitry V. Levin mailto://ldv@alt-linux.org
ALT Linux Team http://www.altlinux.com/
Fandra Project http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
^ permalink raw reply [flat|nested] 22+ messages in thread
end of thread, other threads:[~2002-04-03 16:04 UTC | newest]
Thread overview: 22+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2002-04-01 13:27 [devel] Информация к размышлению о настройках Alexander Bokovoy
2002-04-01 12:42 ` Stanislav Ievlev
2002-04-01 13:47 ` Yura Zotov
2002-04-01 13:59 ` [devel] Re: [devel] Информация кразмышлению " cornet
2002-04-01 14:59 ` [devel] Информация к размышлению " S. Budnevitch
2002-04-01 15:27 ` Alexander Bokovoy
2002-04-01 17:48 ` S. Budnevitch
2002-04-02 7:41 ` [devel] Re: [devel] Информация кразмышлению " cornet
2002-04-02 9:40 ` [devel] Re: [devel]Информация кразмышлению онастройках Andrey Orlov
2002-04-02 9:56 ` Anton B. Farygin
2002-04-02 10:15 ` [devel] Re: [devel]Информация кразмышлению о настройках Aleksey Novodvorsky
2002-04-01 15:12 ` [devel] Информация к размышлению " Sir Raorn
2002-04-01 15:17 ` Alexander Bokovoy
2002-04-01 17:38 ` [devel] " Michael Shigorin
2002-04-01 18:23 ` Aleksey Novodvorsky
2002-04-01 20:29 ` Michael Shigorin
2002-04-02 6:39 ` Sir Raorn
2002-04-01 15:22 ` [devel] Re: [devel] Информация к размышлению онастройках Andrey Orlov
2002-04-01 17:39 ` [devel] Re: Информация к размышлению о настройках Michael Shigorin
2002-04-01 18:36 ` [devel] Re: Информация к размышлению онастройках Andrey Orlov
2002-04-02 6:09 ` [devel] Re: sudo aliases (was: Информация к размышлению о настройках) Vyt
2002-04-03 16:04 ` [devel] Информация к размышлению о настройках Dmitry V. Levin
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git