[devel] Политика безопасности в дистрибутивных решениях

[Павел Исопенко]

14.12.2023 14:54, Paul Wolneykien пишет:
> В Thu, 14 Dec 2023 10:21:24 +0400
> Evgeny Sinelnikov <sin на altlinux.org> пишет:
>
>> 2. Вторая, менее защищённая группа - это пользователи, работающие
>> из-под сетевых учётных записей. Назовём их "доменными пользователями".
>> Такие пользователи, по определению, не должны знать и помнить пароль
>> рута на каждой из, возможно, тысяч машин в единой инфраструктуре.
>>
>> С какими проблемами столкнуться такие пользователи?
>> На самом деле проблем как бы не так уж и много - отвалится всё, что
>> вчера работало через dbus:
>> - настройки NetworkManager;
>> - установка ПО через Gnome Software;
>> - установка даты и времени в графике (через тот же интерфейс, который
>> используется для timedatectl);
>> - возможность выполнять административные команды через systemctl,
>> journalct, hostnamectl и т.п.
>> - возможность работы с gparted;
>> - возможность монтирования дисков графике через UDisks2;
>> - возможность запуска Альтератора на dbus;
>> - ...
>    Я не отследил твою мысль и хочу уточнить: эти сетевые пользователи —
> они тоже в группе wheel на каждой из этих тысяч машин? Или нет?

Нет, во всяком случае по умолчанию. По умолчанию у них будут группа domain users, ну и по мелочи -
100(users),80(cdwriter),22(cdrom),81(audio),467(video),19(proc),83(radio),480(camera),71(floppy),498(xgrp),499(scanner),14(uucp),477(vboxusers),463(fuse)

Чтобы у сетевого пользователя появилась группа wheel, должен специально приложить руку администратор. Я понимаю, речь именно о таких, о привилегированных.

-- 
С уважением, Павел Исопенко
тел. +7(916)5329582