[devel] Информация к размышлению о настройках

[Alexander Bokovoy]

Добрый день!

На этих выходных угораздило меня поиграться с Mac OS X (10.1.2) и
поизучать ее внутренности. Напомню, что внутри это Unix-подобная система,
с человеческим лицом по версии Apple.

В процессе исследования появились следующие мысли:

Работа с системой из-под привилегированного пользователя сведена к
минимуму следующим образом. Пользователь может бфть помечен как "имеющий
возможность администрировать систему" и в этом случае он включается в
группу admins, на которую существует настройка sudo -- любой член этой
группы может выполнять любую операцию. В результате, большинство операций,
требующих изменение конфигурационных файлов и (пере)запуск сервисов,
сводится к вводу пользовательского пароля.

Таким образом можно было бы реализовать памятное (для тех, кто работает в
офисе) предложение ZerG-а о возможности расшаривания ресурсов. То есть,
можно было бы написать приложение (хотя оно, насколько я понимаю, уже есть) 
для исправления конфигов и настроить соответствующим образом sudo, чтобы
пользователь, входящий в определенную группу, мог экспортировать свои
ресурсы.

Подобные настройки можно было бы сделать для каждой группы административных
операций, а управление пользовательскими "возможностями" внести в
планируемый конфигуратор системы.

В Mac OS X эти настройки выглядели следующим образом (в sudo):
%admins     ALL=(ALL) ALL

В нашем случае их можно урезать и специализировать, например:

/etc/sudo.d/exporters:
User_Alias EXPORTERS = список пользователей, которым разрешено экспортирование ресурсов
Cmnd_Alias  EXPORTER = /usr/sbin/exporter (программа, ответственная за изменение конфигурации)
EXPORTERS	имя хоста = EXPORTER

Аналогично и другие операции. 

Мнения?

-- 
/ Alexander Bokovoy
Software architect and analyst             // SaM-Solutions Ltd.
---
Test-tube babies shouldn't throw stones.