From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <a.bokovoy@sam-solutions.net>
Date: Mon, 1 Apr 2002 18:27:40 +0300
From: Alexander Bokovoy <a.bokovoy@sam-solutions.net>
To: devel@altlinux.ru
Subject: Re: [devel] =?koi8-r?B?6c7Gz9LNwcPJ0SDL?=
	=?koi8-r?B?INLB2s3Z28zFzsnAIM8gzsHT1NLPysvByA==?=
Message-ID: <20020401152740.GI12173@sam-solutions.net>
Mail-Followup-To: devel@altlinux.ru
References: <20020401132756.GF12173@sam-solutions.net> <20020401145903.GB6284@israfel.mtu.ru>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <20020401145903.GB6284@israfel.mtu.ru>
Sender: devel-admin@altlinux.ru
Errors-To: devel-admin@altlinux.ru
X-BeenThere: devel@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: devel@altlinux.ru
List-Help: <mailto:devel-request@altlinux.ru?subject=help>
List-Post: <mailto:devel@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=subscribe>
List-Id: <devel.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/devel/>
Archived-At: <http://lore.altlinux.org/devel/20020401152740.GI12173@sam-solutions.net/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On Mon, Apr 01, 2002 at 06:59:03PM +0400, S. Budnevitch wrote:
> On Mon, Apr 01, 2002 at 04:27:56PM +0300, Alexander Bokovoy wrote:
> > В нашем случае их можно урезать и специализировать, например:
> > 
> > /etc/sudo.d/exporters:
> > User_Alias EXPORTERS = список пользователей, которым разрешено экспортирование ресурсов
> > Cmnd_Alias  EXPORTER = /usr/sbin/exporter (программа, ответственная за изменение конфигурации)
> > EXPORTERS	имя хоста = EXPORTER
> > 
> > Аналогично и другие операции. 
> > 
> > Мнения?
> 
>     Отрицательное мнение. Всякие операции по расшариванию ресурсов должны
> производиться пользователем самостоятельно, в здравом уме и доброй
> памяти. В windows для облегчения подобных операция существует "служба
> доступа к файлам и принтерам сети microsoft", сама по себе
> безвредная, но из-за неправильных настроек ставшая кошмаром для ISP (и
> не только) и раем для кулхацкеров, так как с ее помощью воруется большая
> часть пользовательских паролей. Мне кажется, стоит учиться на таких
> ошибках. Если я в чем-то не прав, с удовольствием выслушаю другие мнения.
Я не согласен с Вашим подходом. Речь шла не о конкретной реализации
расшаривания файлов, а о построении системы автоматизации некоторых
административных действий, со сведением необходимости применения
привилегированных прав к минимуму. Неужели отсутствие грамотной настройки
будем меньшим кошмаром?

>    По-моему лучше такие вещи подробно документировать, а не думать за 
> пользователя. Возможно стоит составить "правильные" конфиги (как это сделано в
> postfix'е) и положить их в %doc.
Чем это отличается от лежащих в /etc/sudo.d/* правильных настроек с
отсутствующими списками пользователей?
-- 
/ Alexander Bokovoy
Software architect and analyst             // SaM-Solutions Ltd.
---
The only thing to do with good advice is pass it on.  It is never any
use to oneself.
		-- Oscar Wilde