[devel] Re: [sisyphus] Re: root warning

Пн Ноя 11 12:22:37 MSK 2002

On Sun, Nov 10, 2002 at 09:22:27PM +0300, Вячеслав Диконов wrote:
> xx. Закольцовка /usr/local и /usr путём создания ссылки /usr/local -->
> /usr. Абсолютно безболезненно!

Нэ уверен.  Но вот /opt тут люд подобным образом выносит в
/usr/local (или наоборот).

> xxxx. Создание групп по принципу устройство - группа, что
> позволяет пускать или не пускать отдельных пользователей к,
> скажем, модему.

ДА!!!  (или звуку -- частично у нас эта дорога уже пройдена, в
результате чего решено делать, скажем, 664/(root,$user).audio
/dev/dsp)

Тут еще один мыслъ: т.к. у нас сейчас разделение "профилей
ответственности", что ли, плавно переезжает на группы -- какая-то
внятная конфигурилка "с комментариями" и понятием
"опасных"/"полезных" групп (ftpadmin / audio) -- в идеале
описанием плюсов/минусов внятным языком -- была бы очень и очень.

Пример насчет audio:

---
[X] включать новых пользователей в группу audio
текущие пользователи: [list] <==> [all_users]

[примечание] обычно первый пользователь, вошедший в систему
локально, получает необходимые права для доступа к звуковым
устройствам; см. <href>pam_console(5)</>

<green>
[удобства] эта возможность может понадобиться в
реально использующейся многопользовательской среде -- если 
в каждый момент времени в системе зарегистрирован только один
пользователь, которому необходим доступ к звуковой карте --
хватит штатных возможностей модуля pam_console.
</>
<red>
[опасности] при наличии сети подумайте, прежде чем давать доступ
к звуковым устройствам тем пользователям, которые могут иметь
удаленный доступ к системе и которым вы не вполне доверяете:
микрофон в таком случае тоже может быть включен на запись,
реализуя подслушивающее устройство на базе вашего же ПК.
</>
---

Кстати, где-то рядом можно регулировать и права на /dev/$audio --
думаю, "заводскими" настройками можно сделать 660, 640 и 600
(первое по умолчанию) с соотв. комментариями насчет "добавьте в
группу <href>здесь</>", "невозможность прослушивания" (+сломаются
те "писатели", которые пытаются открыть в rw -- вроде unix midi
plugin), "строго одному пользователю".

Примерно то же -- начсет /dev/fd[0-9]* etc.

Да, я понимаю, что это -- пересечение модулей управления
пользователями/группами и правами, но в правильном инсталяторе
оно _должно_ случиться (так же, например, как и пересечение
управления сервисами и сетевыми настройками -- помните пример про
samba?).

> xxxxx. сделать членство в группе games обязательным для запуска
> игр (обычно все они попадают в /usr/games).

Ммм...  Возможно.  Скорее да :-)

> xxxxxx. выставлять у root человеческую локаль вместо C. Может
> порождать кучу предупреждений от особо тупых программ при
> компиляции и установке пакетов.

Как вариант.  Особенно с учетом того, что в ряде случаев она
(локаль) может наследоваться (sudo cmd).

> xxxxxxx. chmod 4755 /usr/sbin/pppd Необходимо для лазанья в
> Интернет по модему с инициализацией поминутно оплачиваемого
> соединения пользователем. Сответственная настройка звонилок.  

Опять же, как вариант -- в ряде случаев было бы удобно.

N+1.  ulimit -c 0 -- для адванседа скорее вреден, для новичка
точно нужен.

(btw, насчет {rm,cp,mv} -i -- тут регулировка дефолта тоже бы не
помешала, только аккуратно и учитывая то, что кто-то мог уже
привыкнуть)

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 187 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20021111/9d4e6d4b/attachment-0001.bin>