[devel] Политика безопасности в дистрибутивных решениях

Evgeny Sinelnikov sin на altlinux.org
Чт Дек 14 16:30:51 MSK 2023 

Нет, да. :)

У нас это автоматизировано при вводе машины в домен:
https://bugzilla.altlinux.org/show_bug.cgi?id=35763#c38



чт, 14 дек. 2023 г., 16:55 Павел Исопенко <master at pauli.ru>:

> 14.12.2023 14:54, Paul Wolneykien пишет:
> > В Thu, 14 Dec 2023 10:21:24 +0400
> > Evgeny Sinelnikov <sin at altlinux.org> пишет:
> >
> >> 2. Вторая, менее защищённая группа - это пользователи, работающие
> >> из-под сетевых учётных записей. Назовём их "доменными пользователями".
> >> Такие пользователи, по определению, не должны знать и помнить пароль
> >> рута на каждой из, возможно, тысяч машин в единой инфраструктуре.
> >>
> >> С какими проблемами столкнуться такие пользователи?
> >> На самом деле проблем как бы не так уж и много - отвалится всё, что
> >> вчера работало через dbus:
> >> - настройки NetworkManager;
> >> - установка ПО через Gnome Software;
> >> - установка даты и времени в графике (через тот же интерфейс, который
> >> используется для timedatectl);
> >> - возможность выполнять административные команды через systemctl,
> >> journalct, hostnamectl и т.п.
> >> - возможность работы с gparted;
> >> - возможность монтирования дисков графике через UDisks2;
> >> - возможность запуска Альтератора на dbus;
> >> - ...
> >    Я не отследил твою мысль и хочу уточнить: эти сетевые пользователи —
> > они тоже в группе wheel на каждой из этих тысяч машин? Или нет?
>
> Нет, во всяком случае по умолчанию. По умолчанию у них будут группа domain
> users, ну и по мелочи -
>
> 100(users),80(cdwriter),22(cdrom),81(audio),467(video),19(proc),83(radio),480(camera),71(floppy),498(xgrp),499(scanner),14(uucp),477(vboxusers),463(fuse)
>
> Чтобы у сетевого пользователя появилась группа wheel, должен специально
> приложить руку администратор. Я понимаю, речь именно о таких, о
> привилегированных.
>
> --
> С уважением, Павел Исопенко
> тел. +7(916)5329582
>
> _______________________________________________
> Devel mailing list
> Devel at lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.altlinux.org/pipermail/devel/attachments/20231214/722acc93/attachment.html>

Подробная информация о списке рассылки Devel