[devel] Проблемы привилегий и ролей

Пт Фев 22 12:35:19 MSK 2008

2008/2/22 Anton Farygin <rider на altlinux.com>:
> Led пишет:
>
>
> > Friday, 22 February 2008 00:51:43 Evgeny Sinelnikov написав:
>  >> 2008/2/22 Dmitry V. Levin <ldv на altlinux.org>:
>  >>> On Thu, Feb 21, 2008 at 09:25:34AM +0300, Evgeny Sinelnikov wrote:
>  >>>  [...]
>  >>>
>  >>>> 3) При входе в систему, кроме стандартных групп из /etc/group, новый
>  >>>> модуль
>  >>>>
>  >>>  > добавляет пользователю дополнительные привилегии (тоже группы) из
>  >>>  > файла /etc/roles:
>  >>>  > users: xgrp, cdwriter
>  >>>  > wheel: webmaster, kqemu
>  >>>  > То есть, всем, кто входят в группу users, будут дополнительно
>  >>>  > назначены xgrp и cdwriter, а всем, кто входит в группу wheel -
>  >>>  > webmaster и kqemu.
>  >>>
>  >>>  Т.е. предлагается грубая система разграничения доступа по супергруппам
>  >>>  взамен тонкого разграничения доступа по группам.
>  >>>  Какая может быть пользая от такого упрощения?
>  >> Исходная схема  по группам не упраздняется, а расширяется схемой по
>  >> супергруппам.
>  >> Для демонстрации снова привожу свой пример:
>  >> Группа sambа, назначается тем, кто умеет писать в каталог
>  >> /var/lib/samba/usershare, настроим для этого самбу как показано здесь
>  >> (http://gentoo.ovibes.net/nautilus-share/mediawiki-1.4.4/index.php/Accueil)
>  >> . Да, на этот каталог можно добавить ACL, а можно добавлять
>  >> пользователей в группу samba вручную. Одно от другого, по факту
>  >> необходимости выполнять дополнительные действия, никак не отличимо. И
>  >> то, и другое крайне не удобно. Хочется сделать так:
>  >>
>  >>     * назначаем роли users привилегию samba, по умолчанию
>  >>     * при добавлении новых пользователей они автоматически добавляются
>  >> в группу users, а поскольку группе users, как роли, назначена
>  >> привилегия samba, то она автоматически к ним применяется
>  >>     * при установке пакета предоставляющего эту привилегию, она
>  >> назначется роли users. И все, кто входят группу users автоматически,
>  >> после перелогина, получают эту привилегию
>  >>     * при желании изментить политику привилегии samba, она передаётся
>  >> другой роли или назначается отдельным пользователям как группа
>  >
>  > Звучит вроде бы и логично, но... ИМХО теряется чёткий контроль...
>  >
>
>  Да, путаница будет довольно большая.
>

Ну, это кому как... Кому не кажется не удобным, каждый раз при установке новой
программы, добавлять себя в группу, тому будет путаница. Кому не кажется не
удобным, при добавлении нового пользователя, вспоминать в какие группы его нужно
не забыть добавить, чтобы не оказалось, что у него нет прав на действия, которые
есть у старых пользователей, тому будет путаница. Кому не кажется не удобным
повторять все эти действия на каждой вновь установленной машине для каждого
вновь созданного пользователя, тому будет путаница. Вот только для большинства
применений на десктопе это не путаница, а возможность избавить себя от лишних
действий.

Кстати, я полагаю, что схема с файлом при таком исходе будет менее удобна,
поскольку это потребует явной зависимости от пакета libnss_role, для всех
желающих им воспользоватся даже опционально. Чтобы этого избежать
проще запускать скрипт. Но тут возникает вопрос. Как, в этом случае, отличить
ситуацию, когда мы в первый раз устанавливаем пакет от ситуациии, когда пакет
обновляется? Насколько я помню это можно сделать на уровне условий в
пост-скриптах rpm. Есть ли по этому поводу идеи?

-- 
Sin (Sinelnikov Evgeny)