On Sun, Nov 10, 2002 at 09:22:27PM +0300, Вячеслав Диконов wrote: > xx. Закольцовка /usr/local и /usr путём создания ссылки /usr/local --> > /usr. Абсолютно безболезненно! Нэ уверен. Но вот /opt тут люд подобным образом выносит в /usr/local (или наоборот). > xxxx. Создание групп по принципу устройство - группа, что > позволяет пускать или не пускать отдельных пользователей к, > скажем, модему. ДА!!! (или звуку -- частично у нас эта дорога уже пройдена, в результате чего решено делать, скажем, 664/(root,$user).audio /dev/dsp) Тут еще один мыслъ: т.к. у нас сейчас разделение "профилей ответственности", что ли, плавно переезжает на группы -- какая-то внятная конфигурилка "с комментариями" и понятием "опасных"/"полезных" групп (ftpadmin / audio) -- в идеале описанием плюсов/минусов внятным языком -- была бы очень и очень. Пример насчет audio: --- [X] включать новых пользователей в группу audio текущие пользователи: [list] <==> [all_users] [примечание] обычно первый пользователь, вошедший в систему локально, получает необходимые права для доступа к звуковым устройствам; см. pam_console(5) [удобства] эта возможность может понадобиться в реально использующейся многопользовательской среде -- если в каждый момент времени в системе зарегистрирован только один пользователь, которому необходим доступ к звуковой карте -- хватит штатных возможностей модуля pam_console. [опасности] при наличии сети подумайте, прежде чем давать доступ к звуковым устройствам тем пользователям, которые могут иметь удаленный доступ к системе и которым вы не вполне доверяете: микрофон в таком случае тоже может быть включен на запись, реализуя подслушивающее устройство на базе вашего же ПК. --- Кстати, где-то рядом можно регулировать и права на /dev/$audio -- думаю, "заводскими" настройками можно сделать 660, 640 и 600 (первое по умолчанию) с соотв. комментариями насчет "добавьте в группу здесь", "невозможность прослушивания" (+сломаются те "писатели", которые пытаются открыть в rw -- вроде unix midi plugin), "строго одному пользователю". Примерно то же -- начсет /dev/fd[0-9]* etc. Да, я понимаю, что это -- пересечение модулей управления пользователями/группами и правами, но в правильном инсталяторе оно _должно_ случиться (так же, например, как и пересечение управления сервисами и сетевыми настройками -- помните пример про samba?). > xxxxx. сделать членство в группе games обязательным для запуска > игр (обычно все они попадают в /usr/games). Ммм... Возможно. Скорее да :-) > xxxxxx. выставлять у root человеческую локаль вместо C. Может > порождать кучу предупреждений от особо тупых программ при > компиляции и установке пакетов. Как вариант. Особенно с учетом того, что в ряде случаев она (локаль) может наследоваться (sudo cmd). > xxxxxxx. chmod 4755 /usr/sbin/pppd Необходимо для лазанья в > Интернет по модему с инициализацией поминутно оплачиваемого > соединения пользователем. Сответственная настройка звонилок. Опять же, как вариант -- в ряде случаев было бы удобно. N+1. ulimit -c 0 -- для адванседа скорее вреден, для новичка точно нужен. (btw, насчет {rm,cp,mv} -i -- тут регулировка дефолта тоже бы не помешала, только аккуратно и учитывая то, что кто-то мог уже привыкнуть) -- ---- WBR, Michael Shigorin ------ Linux.Kiev http://www.linux.kiev.ua/