From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <3CA855B7.5080908@alt-linux.org> Date: Mon, 01 Apr 2002 16:42:31 +0400 From: Stanislav Ievlev User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.9) Gecko/20020310 X-Accept-Language: ru, en-us MIME-Version: 1.0 To: devel@altlinux.ru Subject: Re: [devel] =?KOI8-R?Q?=E9=CE=C6=CF=D2=CD=C1=C3=C9=D1_=CB_=D2?= =?KOI8-R?Q?=C1=DA=CD=D9=DB=CC=C5=CE=C9=C0_=CF_=CE=C1=D3=D4=D2=CF=CA=CB?= =?KOI8-R?Q?=C1=C8?= References: <20020401132756.GF12173@sam-solutions.net> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Sender: devel-admin@altlinux.ru Errors-To: devel-admin@altlinux.ru X-BeenThere: devel@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: devel@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: List-Unsubscribe: , List-Archive: Archived-At: List-Archive: List-Post: Alexander Bokovoy wrote: >Добрый день! > >На этих выходных угораздило меня поиграться с Mac OS X (10.1.2) и >поизучать ее внутренности. Напомню, что внутри это Unix-подобная система, >с человеческим лицом по версии Apple. > >В процессе исследования появились следующие мысли: > >Работа с системой из-под привилегированного пользователя сведена к >минимуму следующим образом. Пользователь может бфть помечен как "имеющий >возможность администрировать систему" и в этом случае он включается в >группу admins, на которую существует настройка sudo -- любой член этой >группы может выполнять любую операцию. В результате, большинство операций, >требующих изменение конфигурационных файлов и (пере)запуск сервисов, >сводится к вводу пользовательского пароля. > >Таким образом можно было бы реализовать памятное (для тех, кто работает в >офисе) предложение ZerG-а о возможности расшаривания ресурсов. То есть, >можно было бы написать приложение (хотя оно, насколько я понимаю, уже есть) >для исправления конфигов и настроить соответствующим образом sudo, чтобы >пользователь, входящий в определенную группу, мог экспортировать свои >ресурсы. > >Подобные настройки можно было бы сделать для каждой группы административных >операций, а управление пользовательскими "возможностями" внести в >планируемый конфигуратор системы. > >В Mac OS X эти настройки выглядели следующим образом (в sudo): >%admins ALL=(ALL) ALL > >В нашем случае их можно урезать и специализировать, например: > >/etc/sudo.d/exporters: >User_Alias EXPORTERS = список пользователей, которым разрешено экспортирование ресурсов >Cmnd_Alias EXPORTER = /usr/sbin/exporter (программа, ответственная за изменение конфигурации) >EXPORTERS имя хоста = EXPORTER > >Аналогично и другие операции. > Безусловно интересно, в особенности для "открытых для всех" дистрибутивов типа Junior. > > >Мнения? >