From: Michael Shigorin <mike@osdn.org.ua> To: sisyphus@altlinux.ru Subject: [sisyphus] Re: разумность открытия доступа (was: для чего существуют пакеты) Date: Fri, 9 Jan 2004 15:48:34 +0200 Message-ID: <20040109134834.GM24541@osdn.org.ua> (raw) In-Reply-To: <200401091547.24327.serpiph@nikiet.ru> On Fri, Jan 09, 2004 at 03:47:24PM +0300, Epiphanov Sergei wrote: > > > > дома (например) нужные пользователи занесены в группу > > > > audio -- но это не повод для того, чтобы консольный > > > > пользователь по умолчанию не получал доступа к железу. > > > > Физический-то все равно есть. > > > Не скажите! Даже если есть физический доступ - это не > > > значит, что ему можно делать всё, что угодно. Пояснюсь: есть ситуации, когда физический доступ подразумевает то, что это железо и существует в данном месте для обеспечения определенной функциональности для локальных пользователей. Как ни странно, их большинство. > > > но чтобы начать на нем работать - надо ввести пароль. А > > > согласно вашему принципу: давайте отменим ввод пароля, все > > > равно есть физический доступ. (абсурд -- потому что передергивание; точно так же я могу сказать "так давайте пусть там не будет пакета -- сам найдет, скачает и поставит") > > Не, ну не доводя же до абсурда. Есть ожидаемое поведение, > > есть фактическое. Если фактическое рутинно приводится на > > местности к ожидаемому -- это стоит сделать в пакете. > Определение абсурдности - категория человека, разграничение > доступа - категория компьютера. Я сейчас стараюсь думать на > категории компьютера, потому что хочу, чтобы он работал именно > так, как мне нужно. А я говорю не о *Вашей* или там своей ситуации, а о том, какая реализация пакета в рассматриваемом случае позволит минимизировать средние, а желательно -- и интегральные по выборке пользователей пакета потери времени администраторами систем на базе ALT при использовании данного пакета. > Не зря так настаиваю: Master2.2 и, думаю, Master2.4 (или 3.0?) > позиционируются и как рабочие серверА, а там чем меньше прав у > пользователя - тем лучше. Чем меньше прав, тем меньше и функциональности. Причем нужный баланс заранее неизвестен. Следовательно, приходим к необходимой гибкости/управляемости. > > > Например, на работе: убрать доступ к звуку, чтобы играть не > > > очень хотелось резаться в игры (есть такие) или крутить музыку, > > > которая не нравится окружающим. > > Это уже специфика. :-) > Для студентов - это норма поведения. Студенты -- это тоже специфика. Агрессивная среда, вроде интернета. Но в силу того, что денег на них не заработаешь, в отличие от людей, которые платят за функциональность -- сосредотачиваться исключительно на них смысла не вижу. > Я (простите) ЗАДОЛБАЛСЯ чистить комп с Выньдоус после некоторых > людей. И иногда привычки института долго не проходят. Это эмоции. :-) > > > Поэтому и прошу ничего не изменять в настройках. > > А это привилегии местного администратора -- читать pam_console(8) > > и выполнять профилирование поведения системы по необходимости. > > В смысле это более частный и менее ожидаемый случай, в любом > > случае подразумевающий активность со стороны администратора. > Еще одно решение - поставить это на control > (restricted,camera,console). И каждый выберет сам то, что ему Я так и предложил (control или /etc/sysconfig/camera). > нужно. По умолчанию - camera или restricted. По-хорошему, restricted -- если дистрибутив установлен в целом как "restricted". Иначе -- console, а еще лучше -- console+camera. Обоснование -- по аналогии с /dev/dsp & co. > PS: Вот за что я полюбил Unix (и Linux в частности), так это за > то, что если тебе что-то нужно - тогда это прописываешь или > настраиваешь. За что я пользую (и по мере возможности улучшаю) ALT -- так это за то, что устраивать операционке сцены без повода не надо. Все и так работает в разумной мере. > Нужна камера - прописался в группе camera, нужен звук - группа > audio, нужен доступ по сети - ставишь ssh и т.д. Во что сам не > лезешь - то обычному человеку недоступно (не считая дыр в > системе). Посмотрите, сколько у людей проблем было с (кхм) ac97 sound за последних пару лет. А ведь тоже всего ничего дел -- прописать OSS в modules.conf. Люди почему-то недовольны. Кажется, я даже знаю, почему -- нет оснований для того, чтобы оно ПРОСТО НЕ РАБОТАЛО после установки. > Может, это паранойя, то это пошло со студенческих времен. > Сейчас, ведя сервер на базе Master2.2, я именно такими вещами и > занимаюсь. Ну и что? У Вас на сервере камера стоит? Паранойя паранойей, а голова на плечах и для того, чтобы оценивать реальность угроз и применимость векторов атаки. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
prev parent reply other threads:[~2004-01-09 13:48 UTC|newest] Thread overview: 18+ messages / expand[flat|nested] mbox.gz Atom feed top 2003-12-10 9:08 [sisyphus] Canon Powershot G5 - how to connect Epiphanov Sergei 2003-12-10 9:28 ` [sisyphus] BTW: Canon PowerShot A60 (Re: Canon Powershot G5 - how to connect) Nick Fedchik 2003-12-10 12:26 ` [sisyphus] Canon Powershot G5 - how to connect Roman Savelyev 2003-12-11 9:44 ` Epiphanov Sergei 2003-12-11 9:49 ` Герасимов Дмитрий 2003-12-11 10:23 ` Epiphanov Sergei 2003-12-15 9:29 ` Epiphanov Sergei 2003-12-30 8:14 ` Sanja Byelkin 2004-01-02 17:10 ` [sisyphus] " Michael Shigorin 2004-01-08 9:20 ` Epiphanov Sergei 2004-01-08 14:16 ` Michael Shigorin 2004-01-09 11:27 ` [sisyphus] [JT] " Epiphanov Sergei 2004-01-09 11:39 ` [sisyphus] для чего существуют пакеты (was: Canon Powershot G5 - how to connect) Michael Shigorin 2004-01-09 12:47 ` [sisyphus] разумность открытия доступа (was: для чего существуют пакеты) Epiphanov Sergei 2004-01-09 13:05 ` [sisyphus] разумность открытия доступа Genix 2004-01-09 13:29 ` Epiphanov Sergei 2004-01-09 13:54 ` [sisyphus] " Michael Shigorin 2004-01-09 13:48 ` Michael Shigorin [this message]
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20040109134834.GM24541@osdn.org.ua \ --to=mike@osdn.org.ua \ --cc=sisyphus@altlinux.ru \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Sisyphus discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \ sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru public-inbox-index sisyphus Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sisyphus AGPL code for this site: git clone https://public-inbox.org/public-inbox.git