[mdk-re] Re: [devel] QA: device access policy

Michael Shigorin =?iso-8859-1?q?mike_=CE=C1_lic145=2Ekiev=2Eua?=
Пт Янв 4 22:17:45 MSK 2002 

On Fri, Jan 04, 2002 at 09:33:37PM +0300, Dmitry V. Levin wrote:
> На самом деле, это вопрос policy, и есть варианты поведения по умолчанию:
Безусловно.

> 1. При создании пользователей автоматически заносить их в группу XXX.
>    Членам группы XXX предоставлять доступ к устройству /dev/XXX.
>    Владельцу консоли отдавать устройство /dev/XXX в распоряжение на время
>    владения консолью, лишая доступа к этому устройству членам группы XXX
>    на это же время.
"recommended"?

> 2. При создании пользователей не заносить их автоматически в группу XXX,
>    предоставив выбор администратору.
>    Членам группы XXX предоставлять доступ к устройству /dev/XXX.
>    Владельцу консоли отдавать устройство /dev/XXX в распоряжение на время
>    владения консолью, сохраняя доступ к этому устройству членам группы
>    XXX.
"expert"?

> Сейчас у нас в основном действует первый вариант (хотя не все утилиты
> заносят пользователей в группу XXX), в то время как мне кажется более
> разумным второй вариант. Какие будут соображения?
Плюс задокументировать в руководстве.  Тогда все должны остаться
довольны :) (нет, я понимаю, что этого не бывает в принципе ;)

PS: долго соображал и дважды успел поменять recommended и expert
местами.

Но в итоге решил, что новичок имеет меньше шансов запустить две
X-сессии с xmms или работать с флопом от двух себя; в то же время
у меня почему-то исторически выходит вариант 2 (машина
многопользовательская).

Вообще pam_console, по моему впечатлению, создавалась как "скорая
помощь" _однопользовательским_ (чуть утрирую) системам без
создания существенных проблем с безопасностью.  А вот группы
характерны для многопользовательских, где администрирование
волей-неволей приводит к более быстрому набору опыта :)

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ http://visa.chem.univ.kiev.ua/~mike/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 232 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20020104/219f5d14/attachment-0009.bin>

Подробная информация о списке рассылки community