Natrio |
|
Темы:
48
Сообщения:
4770
Участник с: 08 января 2011
|
VlaoMaoДа нет никаких изменений в группах! FastorВсякие методы эразц-авторизации (ConsoleKit/Logind) и эрзац-разрешений (Polkit) предоставляют альтернативный Просто не используйте |
sirocco |
|
Темы:
29
Сообщения:
2506
Участник с: 25 июля 2007
|
NatrioТем, кто в этом немного совсем ничего не понимает, остается ждать статьи в вики, как можно взлететь без этого хозяйства. С учетом того, что прогресс не стоит на месте, и |
VlaoMao |
|
Темы:
15
Сообщения:
306
Участник с: 23 января 2011
|
Natrio Однако флешки и выключение компа по-молчанию разрешено. Ну да, ничего не изменилось. |
lampslave |
|
Темы:
32
Сообщения:
4801
Участник с: 05 июля 2011
|
FastorА зачем это ограничивать? На всех угодить нельзя, поэтому какие-то настройки делать всё равно придётся. И ничего особо страшного и сложного в этом нет. FastorЭто так. Я не знаю, чего там в винде (потому что лазил туда 2,5 раза), но мы скорее не скатываемся, а наоборот поднимаемся, потому что получаем намного более гибкий инструмент, чем группы и rwx. Вы вот попробуйте, например, запретить пользователю Васе упомянутое монтирование флешек, а всем остальным разрешить. При этом группы у всех юзеров должны быть одинаковые. |
Natrio |
|
Темы:
48
Сообщения:
4770
Участник с: 08 января 2011
|
VlaoMaoЭто не связано с группами, это делают logind+polkit.NatrioОднако флешки и выключение компа по-молчанию разрешено. Ну да, ничего не изменилось. lampslaveПопробуйте запретить это в винде :))FastorЭто так. Я не знаю, чего там в винде (потому что лазил туда 2,5 раза), но мы скорее не скатываемся, а наоборот поднимаемся, потому что получаем намного более гибкий инструмент, чем группы и rwx. Или попробуйте разрешить в винде пользователю запись CD/DVD в сторонней программе. А наконец разрешив, попробуйте просто открыть CD под другим, пока у первого активная сессия! Так что я бы поостерёгся от таких оптимистичных сравнений. Чтобы “подниматься к форточке”, я даже не знаю, как низко надо пасть. Да, у неё более СЛОЖНАЯ, НЕУДОБНАЯ и ЗАПУТАННАЯ система прав доступа, которая теоретически действительно даёт более гибкое управление доступом, но в том виде, как она там реализована, проблем от неё больше, чем толку. И это ещё не считая нововведений висты и семёрки, при которых на каждый чих перезапрашивается разрешение :) |
lampslave |
|
Темы:
32
Сообщения:
4801
Участник с: 05 июля 2011
|
Эээ… Не поднимаемся к винде, а поднимаемся вообще. Так правильнее будет ;) |
Natrio |
|
Темы:
48
Сообщения:
4770
Участник с: 08 января 2011
|
lampslaveОпять же, cgroups, реализованные в ядре Linux, действительно дают более гибкий механизм разделения прав. Но – только при наличии к ним адекватного интерфейса, а никак не XML-ужаса polkit (попробуйте создать хоть одно правило просто руками, без гугла, копипаста, и чьей-то матери), и дурацкой псевдоавторизаци (теперь уже не по цепочке процессов, но и не по пользователю, а по номеру консоли!), которая благополучно перекочевала в logind из ConsoleKit. |
lampslave |
|
Темы:
32
Сообщения:
4801
Участник с: 05 июля 2011
|
Но – только при наличии к ним адекватного интерфейса, а никак не XML-ужаса polkit (попробуйте создать хоть одно правило просто руками, без гугла, копипаста, и чьей-то матери), и дурацкой псевдоавторизаци (теперь уже не по цепочке процессов, но и не по пользователю, а по номеру консоли!), которая благополучно перекочевала в logind из ConsoleKit.Похоже, поезд уехал вперёд, а кто-то этого не заметил :) Пользовательские правила пишутся на javascript и никакого xml там нет, зато есть проверка имени пользователя, группы и ещё куча всего. Для примера правило, разрешающее монтировать локальные диски одному пользователю: polkit.addRule(function(action, subject) { if (action.id == 'org.freedesktop.udisks2.filesystem-mount-system' && subject.user == '%username%') { return polkit.Result.YES; } } ); The Subject type |
F@stor |
|
Темы:
5
Сообщения:
130
Участник с: 14 марта 2012
|
lampslaveОдно из основных правил информационной безопасности: ограничивать доступ к устройствам обмена данных, в частности к съемным устройствам хранения данных. |
lampslave |
|
Темы:
32
Сообщения:
4801
Участник с: 05 июля 2011
|
Ну, раз надо - значит действительно придётся запрещение писать. |