[Freeschool] School network

Igor Grigoriev igor на sch57.msk.ru
Вс Ноя 17 14:15:41 MSK 2002 

Добрый день!

14.11.2002 19:25 Denis Kirienko wrote on "[Freeschool] Re[2]: [Freeschool] кто ведет Линукс в
школе-кружке, поделитесь(Linux-schoolteaching - tell something)" 

>> > Домашние каталоги - на сервере.
>> Доступны по NFS или как?
DK> Да, по NFS.

>> А вроде у LDAP с безопасностью не все в порядке? Боюсь,
>> в случае умных матшкольников это надо иметь в виду.

DK> Не слышал я про проблемы с безопасностью,

Не буду спорить насчет LDAP, глубоко не вникал.
Об NFS - ниже.

DK> но кажется, что наибольшим
DK> источником опасности в случае Linux - системы является не программное
DK> обеспечение, а беспечность, забывчивость или безграмотность людей.

Само собой. Как и в случае Windows - "беспечность, забывчивость
или безграмотность людей", применяющих ее где не следует и/или
как не следует.

>> А как оно, по-нормальному? У нас давным-давно linux на сервере,
>> уже больше года думаем, что невредно бы и на рабочие станции его
>> поставить (там сейчас Win98), но вот не вижу я хорошего
>> стандартного решения :-(

>> Чтоб и "роуминг" был, и с безопасностью все OK.

DK> Я не понял массы заданных вопросов. Что такое "оно"?

Вы там писали: "Криво, конечно, но время поджимало, пришлось
сделать хоть как-то работающее решение. Будет время - попробую
сделать по-нормальному." Вот я и интересовался, что Вы считаете
нормальным решением.

DK> Если по общим
DK> ощущениям - то все хорошо, с Windows, полагаю, проблем было бы на порядок
DK> больше. У меня стоит мне послушный компьютерный класс - я могу одной

[...]

DK> Что подразумевается под "хорошим стандартным решением"?
DK> Опишите, что хотелось бы получить - может придумать по ТЗ
DK> хорошее решение :-)

Хорошее - функционально не хуже имеющегося у нас нынче
Windows-решения (подробности ниже) и лишенное указанных ниже
недостатков. Стандартное - а) на основе стандартных (желательно,
входящих в распространенные дистрибутивы) средств; б) достаточно
широко применяемое в подобных ситуациях.

DK> Что подразумевается под "роумингом"?

Роуминг - за какую бы из рабочих станций пользователь ни сел, он
попадает в одну и ту же "рабочую среду". Т.е. во-первых, в среду
с теми же настройками всех программ, рабочего стола и т.п.
Во-вторых, его личные файлы лежат в привычном месте (например, H:
в случае Win; /home/<username> в случае linux).

К слову, такая возможность, думаю, мало кому нужна, кроме учебных
заведений -- в фирмах принято каждому сидеть за своим
компьютером. Поэтому, скажем, из моих знакомых нешкольных
сисадминов никто такими проблемами никогда не занимался.

Как ни странно, в Win95/98 такая возможность предусмотрена (с
глюками, но терпимыми, у нас работает) и даже поддерживается
samb'ой. Не сомневаюсь, что и с Linux это тоже можно сделать и,
наверное, может получиться еще лучше. Но как? О проблемах (может,
у кого-нибудь есть опыт их решения?) - ниже.

DK> И, наконец, если вы уж так беспокоитесь о безопасности, то почему терпите
DK> Win98? Где любой идиот может поставить любое нужное ему ПО или угробить
DK> систему одним махом?

Безопасность Win98 нас не волнует, потому что они у нас - почти
одноразовые. На сервере лежат образы жестких дисков - свой для
каждого "семейства" почти одинаковых машин. Восстановление
системы из образа занимает для 100 МБитной сети 3-8 мин., для 10
МБитной - около 15 мин. Так что каждый, кто беспокоится о
безопасности рабочей станции, может, прежде чем садиться за нее,
получить ее в первозданном виде. Ну и ничего не мешает раз в день
"восстанавливать" так все машины.

Впрочем, вход в Windows без проверки пароля сервером запрещен.
То, что многие дети знают, как обойти эту защиту - не опасно.

Так что основной принцип - НИКАКОГО ДОВЕРИЯ РАБОЧИМ СТАНЦИЯМ. Со
стороны пользователя - см. выше. Со стороны сервера - без пароля
конкретного пользователя ничего сделать нельзя (разумеется, root
под Windows войти не может).

Как бы школьники "ради эксперимента" над рабочей станцией ни
измывались - хоть грузись с дискеты, хоть переставляй систему -
большого вреда не будет. (Могут навредить лишь персонально тому,
кто сел за нее следом, не выполнив "восстановления" - например,
перехватить его пароль).

Теперь о том, как заменить эти винды на Linux. Как ни странно,
возникает впечатление, что самое стандартное линуксовое решение -
на основе NFS - в этих условиях оказывается хуже. Безопасность
NFS, насколько я понимаю, ОПИРАЕТСЯ НА ДОВЕРИЕ root'ам
КОМПЬЮТЕРОВ-КЛИЕНТОВ: став root'ом любой рабочей станции (для
этого достаточно загрузиться с дискеты) я могу обратиться к
серверу от имени любого пользователя.

Разумеется, Linux, аналогично виндам, можно сделать
"одноразовым". Но это не спасает.

Вот если снять с машин дисководы и CD (чтоб не могли грузиться) с
безопасностью все станет OK. Но это создаст просто ОГРОМНОЕ
количество неудобств.


Возможно, эти рассуждения отдают некоторой паранойей. (Как,
впрочем, почти любые обсуждения безопасности). Но IMHO лучше не
допускать хотя бы более-менее очевидных дырок, чем потом
подвергать детей наказаниям за разные подобные шалости. Ведь они
не по злобе это делают - просто они еще маленькие и воспринимают
сеть как поле для разных экспериментов, для самообразования. В то
время как взрослые дяди и тети там хотят спокойно работать. Да и
многие школьники будут не в восторге, если их ушлые одноклассники
получат (хотя бы в возможности) доступ к их личным файлам и
почте.

   Игорь

Подробная информация о списке рассылки Freeschool