Systemd and groups - ?

VlaoMao
Опять это системдэ, изменения в группах это пока только в арче? Жалко, мне арч нравится, но придётся видимо уходить куда-то, где больше адекватности.
Да нет никаких изменений в группах!

Fastor
lampslave, получается теперь чтобы ограничить пользователя на использование флешек, cd/dvd, надо либо правила запрещения делать, либо переписывать дефолт? Если это так, то это полный гемор, и мы скатываемся до уровня политик безопасности винды.
Всякие методы эразц-авторизации (ConsoleKit/Logind) и эрзац-разрешений (Polkit) предоставляют альтернативный на всю голову десктоп-ориентированный путь получения прав доступа, причём уже давно, ещё со всемён HAL, чтоб ему в горбу икалось мир праху его.
Просто не используйте эту гадость, и не надо будет ничего запрещать.
Natrio
Да нет никаких изменений в группах!
Всякие методы эразц-авторизации (ConsoleKit/Logind) и эрзац-разрешений (Polkit)
Тем, кто в этом немного совсем ничего не понимает, остается ждать статьи в вики, как можно взлететь без этого хозяйства. С учетом того, что прогресс не стоит на месте, и мирный атом в каждой хате системД – на каждом арч-десктопе.
Natrio
Да нет никаких изменений в группах!

Однако флешки и выключение компа по-молчанию разрешено. Ну да, ничего не изменилось.
Fastor
lampslave, получается теперь чтобы ограничить пользователя на использование флешек, cd/dvd, надо либо правила запрещения делать, либо переписывать дефолт?
А зачем это ограничивать?
На всех угодить нельзя, поэтому какие-то настройки делать всё равно придётся. И ничего особо страшного и сложного в этом нет.

Fastor
Если это так, то это полный гемор, и мы скатываемся до уровня политик безопасности винды.
Это так. Я не знаю, чего там в винде (потому что лазил туда 2,5 раза), но мы скорее не скатываемся, а наоборот поднимаемся, потому что получаем намного более гибкий инструмент, чем группы и rwx.
Вы вот попробуйте, например, запретить пользователю Васе упомянутое монтирование флешек, а всем остальным разрешить. При этом группы у всех юзеров должны быть одинаковые.
VlaoMao
Natrio
Да нет никаких изменений в группах!
Однако флешки и выключение компа по-молчанию разрешено. Ну да, ничего не изменилось.
Это не связано с группами, это делают logind+polkit.

lampslave
Fastor
Если это так, то это полный гемор, и мы скатываемся до уровня политик безопасности винды.
Это так. Я не знаю, чего там в винде (потому что лазил туда 2,5 раза), но мы скорее не скатываемся, а наоборот поднимаемся, потому что получаем намного более гибкий инструмент, чем группы и rwx.
Вы вот попробуйте, например, запретить пользователю Васе упомянутое монтирование флешек, а всем остальным разрешить. При этом группы у всех юзеров должны быть одинаковые.
Попробуйте запретить это в винде :))
Или попробуйте разрешить в винде пользователю запись CD/DVD в сторонней программе. А наконец разрешив, попробуйте просто открыть CD под другим, пока у первого активная сессия!

Так что я бы поостерёгся от таких оптимистичных сравнений. Чтобы “подниматься к форточке”, я даже не знаю, как низко надо пасть. Да, у неё более СЛОЖНАЯ, НЕУДОБНАЯ и ЗАПУТАННАЯ система прав доступа, которая теоретически действительно даёт более гибкое управление доступом, но в том виде, как она там реализована, проблем от неё больше, чем толку. И это ещё не считая нововведений висты и семёрки, при которых на каждый чих перезапрашивается разрешение :)
Эээ… Не поднимаемся к винде, а поднимаемся вообще. Так правильнее будет ;)
lampslave
Эээ… Не поднимаемся к винде, а поднимаемся вообще. Так правильнее будет ;)
Опять же, cgroups, реализованные в ядре Linux, действительно дают более гибкий механизм разделения прав.
Но – только при наличии к ним адекватного интерфейса, а никак не XML-ужаса polkit (попробуйте создать хоть одно правило просто руками, без гугла, копипаста, и чьей-то матери), и дурацкой псевдоавторизаци (теперь уже не по цепочке процессов, но и не по пользователю, а по номеру консоли!), которая благополучно перекочевала в logind из ConsoleKit.
Но – только при наличии к ним адекватного интерфейса, а никак не XML-ужаса polkit (попробуйте создать хоть одно правило просто руками, без гугла, копипаста, и чьей-то матери), и дурацкой псевдоавторизаци (теперь уже не по цепочке процессов, но и не по пользователю, а по номеру консоли!), которая благополучно перекочевала в logind из ConsoleKit.
Похоже, поезд уехал вперёд, а кто-то этого не заметил :)
Пользовательские правила пишутся на javascript и никакого xml там нет, зато есть проверка имени пользователя, группы и ещё куча всего. Для примера правило, разрешающее монтировать локальные диски одному пользователю:
polkit.addRule(function(action, subject) {
        if (action.id == 'org.freedesktop.udisks2.filesystem-mount-system' && subject.user == '%username%') {
            return polkit.Result.YES;
        }
    }
);
Хотите другое действие? Открываем /usr/share/polkit-1/actions/, там лежат политики со списком таких действий (вот там да, XML, хотя он на 99% состоит из сообщений на разных языках), выбираем действие, подставляем в правило. Всё, разрешение готово. Вместо юзера можно использовать ещё много чего:
The Subject type
The subject parameter passed to user functions is an object with information about the process being checked. It is of type Subject
and has the following attributes

int pid
The process id.

string user
The user name.

string groups
Array of groups that user user belongs to.

string seat
The seat that the subject is associated with - blank if not on a local seat.

string session
The session that the subject is associated with.

boolean local
Set to true only if seat is local.

boolean active
Set to true only if the session is active.

The following methods are available on the Subject type:

boolean isInGroup(string groupName);

boolean isInNetGroup(string netGroupName);

The isInGroup() method can be used to check if the subject is in a given group and isInNetGroup() can be used to check if the
subject is in a given netgroup.
lampslave
А зачем это ограничивать?
Одно из основных правил информационной безопасности: ограничивать доступ к устройствам обмена данных, в частности к съемным устройствам хранения данных.
Ну, раз надо - значит действительно придётся запрещение писать.
 
Зарегистрироваться или войдите чтобы оставить сообщение.