[Freeschool] School network

Zakhar Bardymov netzah на ltsp.ru
Вс Ноя 17 15:20:17 MSK 2002


On Sun, 17 Nov 2002 14:15:41 +0300 Igor Grigoriev <igor на sch57.msk.ru> wrote:

Практически все поставленные вопросы решаются в случае применения LTSP.

Хотя надо бы в внимательно посмотреть что такое "ОГРОМНОЕ количество
неудобств" в Вашем случае.

-- 
Zakhar Bardymov                      mailto:netzah на ltsp.ru
Linux Terminal Server Project .RU       http://www.ltsp.ru

---

 IG> Добрый день!
 IG> 
 IG> 14.11.2002 19:25 Denis Kirienko wrote on "[Freeschool] Re[2]: [Freeschool] кто ведет Линукс в
 IG> школе-кружке, поделитесь(Linux-schoolteaching - tell something)" 
 IG> 
 IG> >> > Домашние каталоги - на сервере.
 IG> >> Доступны по NFS или как?
 IG> DK> Да, по NFS.
 IG> 
 IG> >> А вроде у LDAP с безопасностью не все в порядке? Боюсь,
 IG> >> в случае умных матшкольников это надо иметь в виду.
 IG> 
 IG> DK> Не слышал я про проблемы с безопасностью,
 IG> 
 IG> Не буду спорить насчет LDAP, глубоко не вникал.
 IG> Об NFS - ниже.
 IG> 
 IG> DK> но кажется, что наибольшим
 IG> DK> источником опасности в случае Linux - системы является не программное
 IG> DK> обеспечение, а беспечность, забывчивость или безграмотность людей.
 IG> 
 IG> Само собой. Как и в случае Windows - "беспечность, забывчивость
 IG> или безграмотность людей", применяющих ее где не следует и/или
 IG> как не следует.
 IG> 
 IG> >> А как оно, по-нормальному? У нас давным-давно linux на сервере,
 IG> >> уже больше года думаем, что невредно бы и на рабочие станции его
 IG> >> поставить (там сейчас Win98), но вот не вижу я хорошего
 IG> >> стандартного решения :-(
 IG> 
 IG> >> Чтоб и "роуминг" был, и с безопасностью все OK.
 IG> 
 IG> DK> Я не понял массы заданных вопросов. Что такое "оно"?
 IG> 
 IG> Вы там писали: "Криво, конечно, но время поджимало, пришлось
 IG> сделать хоть как-то работающее решение. Будет время - попробую
 IG> сделать по-нормальному." Вот я и интересовался, что Вы считаете
 IG> нормальным решением.
 IG> 
 IG> DK> Если по общим
 IG> DK> ощущениям - то все хорошо, с Windows, полагаю, проблем было бы на порядок
 IG> DK> больше. У меня стоит мне послушный компьютерный класс - я могу одной
 IG> 
 IG> [...]
 IG> 
 IG> DK> Что подразумевается под "хорошим стандартным решением"?
 IG> DK> Опишите, что хотелось бы получить - может придумать по ТЗ
 IG> DK> хорошее решение :-)
 IG> 
 IG> Хорошее - функционально не хуже имеющегося у нас нынче
 IG> Windows-решения (подробности ниже) и лишенное указанных ниже
 IG> недостатков. Стандартное - а) на основе стандартных (желательно,
 IG> входящих в распространенные дистрибутивы) средств; б) достаточно
 IG> широко применяемое в подобных ситуациях.
 IG> 
 IG> DK> Что подразумевается под "роумингом"?
 IG> 
 IG> Роуминг - за какую бы из рабочих станций пользователь ни сел, он
 IG> попадает в одну и ту же "рабочую среду". Т.е. во-первых, в среду
 IG> с теми же настройками всех программ, рабочего стола и т.п.
 IG> Во-вторых, его личные файлы лежат в привычном месте (например, H:
 IG> в случае Win; /home/<username> в случае linux).
 IG> 
 IG> К слову, такая возможность, думаю, мало кому нужна, кроме учебных
 IG> заведений -- в фирмах принято каждому сидеть за своим
 IG> компьютером. Поэтому, скажем, из моих знакомых нешкольных
 IG> сисадминов никто такими проблемами никогда не занимался.
 IG> 
 IG> Как ни странно, в Win95/98 такая возможность предусмотрена (с
 IG> глюками, но терпимыми, у нас работает) и даже поддерживается
 IG> samb'ой. Не сомневаюсь, что и с Linux это тоже можно сделать и,
 IG> наверное, может получиться еще лучше. Но как? О проблемах (может,
 IG> у кого-нибудь есть опыт их решения?) - ниже.
 IG> 
 IG> DK> И, наконец, если вы уж так беспокоитесь о безопасности, то почему терпите
 IG> DK> Win98? Где любой идиот может поставить любое нужное ему ПО или угробить
 IG> DK> систему одним махом?
 IG> 
 IG> Безопасность Win98 нас не волнует, потому что они у нас - почти
 IG> одноразовые. На сервере лежат образы жестких дисков - свой для
 IG> каждого "семейства" почти одинаковых машин. Восстановление
 IG> системы из образа занимает для 100 МБитной сети 3-8 мин., для 10
 IG> МБитной - около 15 мин. Так что каждый, кто беспокоится о
 IG> безопасности рабочей станции, может, прежде чем садиться за нее,
 IG> получить ее в первозданном виде. Ну и ничего не мешает раз в день
 IG> "восстанавливать" так все машины.
 IG> 
 IG> Впрочем, вход в Windows без проверки пароля сервером запрещен.
 IG> То, что многие дети знают, как обойти эту защиту - не опасно.
 IG> 
 IG> Так что основной принцип - НИКАКОГО ДОВЕРИЯ РАБОЧИМ СТАНЦИЯМ. Со
 IG> стороны пользователя - см. выше. Со стороны сервера - без пароля
 IG> конкретного пользователя ничего сделать нельзя (разумеется, root
 IG> под Windows войти не может).
 IG> 
 IG> Как бы школьники "ради эксперимента" над рабочей станцией ни
 IG> измывались - хоть грузись с дискеты, хоть переставляй систему -
 IG> большого вреда не будет. (Могут навредить лишь персонально тому,
 IG> кто сел за нее следом, не выполнив "восстановления" - например,
 IG> перехватить его пароль).
 IG> 
 IG> Теперь о том, как заменить эти винды на Linux. Как ни странно,
 IG> возникает впечатление, что самое стандартное линуксовое решение -
 IG> на основе NFS - в этих условиях оказывается хуже. Безопасность
 IG> NFS, насколько я понимаю, ОПИРАЕТСЯ НА ДОВЕРИЕ root'ам
 IG> КОМПЬЮТЕРОВ-КЛИЕНТОВ: став root'ом любой рабочей станции (для
 IG> этого достаточно загрузиться с дискеты) я могу обратиться к
 IG> серверу от имени любого пользователя.
 IG> 
 IG> Разумеется, Linux, аналогично виндам, можно сделать
 IG> "одноразовым". Но это не спасает.
 IG> 
 IG> Вот если снять с машин дисководы и CD (чтоб не могли грузиться) с
 IG> безопасностью все станет OK. Но это создаст просто ОГРОМНОЕ
 IG> количество неудобств.
 IG> 
 IG> 
 IG> Возможно, эти рассуждения отдают некоторой паранойей. (Как,
 IG> впрочем, почти любые обсуждения безопасности). Но IMHO лучше не
 IG> допускать хотя бы более-менее очевидных дырок, чем потом
 IG> подвергать детей наказаниям за разные подобные шалости. Ведь они
 IG> не по злобе это делают - просто они еще маленькие и воспринимают
 IG> сеть как поле для разных экспериментов, для самообразования. В то
 IG> время как взрослые дяди и тети там хотят спокойно работать. Да и
 IG> многие школьники будут не в восторге, если их ушлые одноклассники
 IG> получат (хотя бы в возможности) доступ к их личным файлам и
 IG> почте.
 IG> 
 IG>    Игорь
 IG> 
 IG> _______________________________________________
 IG> Freeschool mailing list
 IG> Freeschool на linux.ru.net
 IG> http://linux.ru.net/mailman/listinfo/freeschool





Подробная информация о списке рассылки Freeschool