From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Fri, 4 Jan 2002 20:56:56 +0200 From: Michael Shigorin To: devel@altlinux.ru, ALT Linux Spring mailing list Subject: Re: [devel] QA: device access policy Message-ID: <20020104205656.U1547@lic145.kiev.ua> Mail-Followup-To: devel@altlinux.ru, ALT Linux Spring mailing list References: <20011231093911.A4438@lic145.kiev.ua> <20020104154846.GA13807@ldv.office.alt-linux.org> <20020104185405.T1547@lic145.kiev.ua> <20020104183337.GA20061@ldv.office.alt-linux.org> Mime-Version: 1.0 Content-Type: multipart/signed; micalg=pgp-sha1; protocol="application/pgp-signature"; boundary="RD6GsZsdEJvsf78O" Content-Disposition: inline In-Reply-To: <20020104183337.GA20061@ldv.office.alt-linux.org> User-Agent: Mutt/1.3.22.1i Sender: devel-admin@altlinux.ru Errors-To: devel-admin@altlinux.ru X-BeenThere: devel@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: devel@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: List-Unsubscribe: , List-Archive: Archived-At: List-Archive: List-Post: --RD6GsZsdEJvsf78O Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit On Fri, Jan 04, 2002 at 09:33:37PM +0300, Dmitry V. Levin wrote: > На самом деле, это вопрос policy, и есть варианты поведения по умолчанию: Безусловно. > 1. При создании пользователей автоматически заносить их в группу XXX. > Членам группы XXX предоставлять доступ к устройству /dev/XXX. > Владельцу консоли отдавать устройство /dev/XXX в распоряжение на время > владения консолью, лишая доступа к этому устройству членам группы XXX > на это же время. "recommended"? > 2. При создании пользователей не заносить их автоматически в группу XXX, > предоставив выбор администратору. > Членам группы XXX предоставлять доступ к устройству /dev/XXX. > Владельцу консоли отдавать устройство /dev/XXX в распоряжение на время > владения консолью, сохраняя доступ к этому устройству членам группы > XXX. "expert"? > Сейчас у нас в основном действует первый вариант (хотя не все утилиты > заносят пользователей в группу XXX), в то время как мне кажется более > разумным второй вариант. Какие будут соображения? Плюс задокументировать в руководстве. Тогда все должны остаться довольны :) (нет, я понимаю, что этого не бывает в принципе ;) PS: долго соображал и дважды успел поменять recommended и expert местами. Но в итоге решил, что новичок имеет меньше шансов запустить две X-сессии с xmms или работать с флопом от двух себя; в то же время у меня почему-то исторически выходит вариант 2 (машина многопользовательская). Вообще pam_console, по моему впечатлению, создавалась как "скорая помощь" _однопользовательским_ (чуть утрирую) системам без создания существенных проблем с безопасностью. А вот группы характерны для многопользовательских, где администрирование волей-неволей приводит к более быстрому набору опыта :) -- ---- WBR, Michael Shigorin ------ http://visa.chem.univ.kiev.ua/~mike/ --RD6GsZsdEJvsf78O Content-Type: application/pgp-signature Content-Disposition: inline -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.4 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE8Nfr4bsPDprYMm3IRAos1AJwLM4juNr703gV46MlY1wupt56rCQCgySey 7uVNKKbaP7k6vfjACGOu/i4= =tYRO -----END PGP SIGNATURE----- --RD6GsZsdEJvsf78O--