[sisyphus] разумность открытия доступа (was: для чего существуют пакеты )

[Epiphanov Sergei]

В сообщении от 9 Январь 2004 14:39 Michael Shigorin написал:
> On Fri, Jan 09, 2004 at 02:27:19PM +0300, Epiphanov Sergei wrote:
> > > Я имел в виду поведение пакета после установки.  Понятно, что
> > > у меня дома (например) нужные пользователи занесены в группу
> > > audio -- но это не повод для того, чтобы консольный
> > > пользователь по умолчанию не получал доступа к железу.
> > > Физический-то все равно есть.
> >
> > Не скажите! Даже если есть физический доступ - это не значит,
> > что ему можно делать всё, что угодно. Пример: есть доступ к
> > компу, но чтобы начать на нем работать - надо ввести пароль. А
> > согласно вашему принципу: давайте отменим ввод пароля, все
> > равно есть физический доступ.
>
> Не, ну не доводя же до абсурда.  Есть ожидаемое поведение, есть
> фактическое.  Если фактическое рутинно приводится на местности к
> ожидаемому -- это стоит сделать в пакете.

Определение абсурдности - категория человека, разграничение доступа - 
категория компьютера. Я сейчас стараюсь думать на категории компьютера, 
потому что хочу, чтобы он работал именно так, как мне нужно. Не зря так 
настаиваю: Master2.2 и, думаю, Master2.4 (или 3.0?) позиционируются и как 
рабочие серверА, а там чем меньше прав у пользователя - тем лучше.

> > Например, на работе: убрать доступ к звуку, чтобы играть не
> > очень хотелось резаться в игры (есть такие) или крутить музыку,
> > которая не нравится окружающим.
>
> Это уже специфика. :-)

Для студентов - это норма поведения. Я (простите) ЗАДОЛБАЛСЯ чистить комп с 
Выньдоус после некоторых людей. И иногда привычки института долго не 
проходят.

> > Поэтому и прошу ничего не изменять в настройках.
>
> А это привилегии местного администратора -- читать pam_console(8)
> и выполнять профилирование поведения системы по необходимости.
>
> В смысле это более частный и менее ожидаемый случай, в любом
> случае подразумевающий активность со стороны администратора.
>
> > Можно только при установке/обновлении пакета вывести строку,
> > что куда можно скопировать и для чего. Вроде этого: "Скопируйте
> > ... в ... для работы с фотокамерами всем консольным
> > пользователям."
>
> Ну как минимум.

Еще одно решение - поставить это на control (restricted,camera,console). И 
каждый выберет сам то, что ему нужно. По умолчанию - camera или 
restricted.

PS: Вот за что я полюбил Unix (и Linux в частности), так это за то, что 
если тебе что-то нужно - тогда это прописываешь или настраиваешь. Нужна 
камера - прописался в группе camera, нужен звук - группа audio, нужен 
доступ по сети - ставишь ssh и т.д. Во что сам не лезешь - то обычному 
человеку недоступно (не считая дыр в системе). Может, это паранойя, то это 
пошло со студенческих времен. Сейчас, ведя сервер на базе Master2.2, я 
именно такими вещами и занимаюсь.

-- 
С уважением, Епифанов Сергей