[devel] Информация к размышлению о настройках
Stanislav Ievlev
=?iso-8859-1?q?inger_=CE=C1_alt-linux=2Eorg?=
Пн Апр 1 16:42:31 MSD 2002
Alexander Bokovoy wrote:
>Добрый день!
>
>На этих выходных угораздило меня поиграться с Mac OS X (10.1.2) и
>поизучать ее внутренности. Напомню, что внутри это Unix-подобная система,
>с человеческим лицом по версии Apple.
>
>В процессе исследования появились следующие мысли:
>
>Работа с системой из-под привилегированного пользователя сведена к
>минимуму следующим образом. Пользователь может бфть помечен как "имеющий
>возможность администрировать систему" и в этом случае он включается в
>группу admins, на которую существует настройка sudo -- любой член этой
>группы может выполнять любую операцию. В результате, большинство операций,
>требующих изменение конфигурационных файлов и (пере)запуск сервисов,
>сводится к вводу пользовательского пароля.
>
>Таким образом можно было бы реализовать памятное (для тех, кто работает в
>офисе) предложение ZerG-а о возможности расшаривания ресурсов. То есть,
>можно было бы написать приложение (хотя оно, насколько я понимаю, уже есть)
>для исправления конфигов и настроить соответствующим образом sudo, чтобы
>пользователь, входящий в определенную группу, мог экспортировать свои
>ресурсы.
>
>Подобные настройки можно было бы сделать для каждой группы административных
>операций, а управление пользовательскими "возможностями" внести в
>планируемый конфигуратор системы.
>
>В Mac OS X эти настройки выглядели следующим образом (в sudo):
>%admins ALL=(ALL) ALL
>
>В нашем случае их можно урезать и специализировать, например:
>
>/etc/sudo.d/exporters:
>User_Alias EXPORTERS = список пользователей, которым разрешено экспортирование ресурсов
>Cmnd_Alias EXPORTER = /usr/sbin/exporter (программа, ответственная за изменение конфигурации)
>EXPORTERS имя хоста = EXPORTER
>
>Аналогично и другие операции.
>
Безусловно интересно, в особенности для "открытых для всех"
дистрибутивов типа Junior.
>
>
>Мнения?
>
Подробная информация о списке рассылки Devel