uzivatele a prava
Rudolf Ulc
Rudolf.Ulc na mu-st.cz
Pondělí Srpen 29 14:53:35 CEST 2005
Petr Vileta <stoupa na practisoft.cz> wrote:
> Predstavte si, ze do *desktopoveho* PC nainstalujete rekneme program Nero
> for Linux na vypalovani CD (jo, uz existuje). No a ted na tom PC pracuji 4
> lide. Samozrejme administrator (root), pak ucetni, jeji kolegyne a nejake
> dite skolou povinne. Kazdy z nich chce/potrebuje mit vlastni "plochu" a musi
> mit opravneni ke spousteni urcite mnoziny programu.
>1. root pracovnu plochu v podstate nepotrebuje. root je skor rola, nie
>pouzivatel. spravca sa bude vacsinou prihlasovat cez ssh alebo do X pod
>svojim loginom a spusti si "su" pripadne "sudo"... S rootovskymi pravami by
>mali byt spustane len programy potrebne (pripadne nevyhnutne) pre spravu
>systemu. Z dovodov bezpecnosti samozrejme.
> Administrator muze samozrejme vsechno, jenze nelze Neru dat vlastnika root,
> to by nikdo jiny nespustil.
>2. Vlastnikom by MAL byt root - bezny pouzivatel nema co vlastnit programy
>spustane inymi.
samozrejme
> Ucetni smi spustit Nero, Mozillu a Ucto, jeji kolegyne Nero a Mozillu, dite
> jen Mozillu.
> Tak jak 100hoven v Linuxu?
> Vytvori se skupina Mozilla a jejimi cleny bude ucetni, kolegyne a dite.
> Program Mozilla bude mit prava spousteni skupinou Mozilla.
>3. naco? ak moze mozilu spustat kazdy, postacia prava pre svet.
> Vytvori se skupina Nero a jejimi cleny bude ucetni a kolegyne. Program Nero
> bude mit prava spousteni skupinou Nero.
> Vytvori se skupina Ucto a jejim jedinym clenem bude ucetni. Program Ucto
> bude mit prava spousteni skupinou Ucto.
>Vytvorit dve skupiny naozaj nie je problem. pouzivatel moze byt tusim
>naraz v 16(32?) a s patchom do kernelu aj vo viacerych.
> Jenze jakeho vlastnika date tem samotnym programum? Bude napriklad
> pozadavek, ze ucetni smi Mozillu (program) i preinstalovat, ale kolegyne to
> nesmi. Ovsem obe maji pravo to spoustet.
>4. uctovnik nesmie mozillu preinstalovavat. ak nahodou potrebuje, moze mat
>prava na spustenie prikazov na preinstalovavanie balikov, aj to len skriptom
>inicializovane - nie manualny vyber balika ale napriklad distribucne updaty.
>Inac by mohol miesto mozilly preinstalovat nieco co kolegyni a dietatu zmaze
>data.
>Vlastnik bude root aebo napr. bin ako je to bezne v UN*X systemoch.
> V Novellu i ve Windows (w2k, XP-Pro) lze velmi jednoduse nastavit kazdemu
> adresari a kazdemu programu (vcetne dedicnosti), kdo to smi spoustet, kdo to
> smi smazat atd. Muzete do seznamu opravnenych pridavat jak jednotlive
> uzivatele, tak skupiny.
>Ja viem. To ze sa nieco da, vsak este neznamena ze je to potrebne ani
>prehladne.
>Oznacil som 4 body kde ste urobili logicku chybu. Dovolim si tipnut, ze
>vacsina z nich bola ovplyvnena vasimi skusenostami z novellu pripadne
>nedostatocnymi znalostami bezpecnostnych zasad...
>a vas priklad perfektne patri do tych 99% ktore som spominal...
To bych si nedovolil tvrdit...
Ja to pochopil jako priklad nastaveni prav, ne jako konkretni pozadavek k realizaci.
Samozrejme programy maji byt pro uzivatele pouze pro cteni.
Tak jak vyresit jiny priklad - potrebuji nastavit prava pro data na ftp serveru treba takto:
uzivatele A B C D E
adresare
adr1 cte cte cte a zapisuje cte a zapisuje, nemaze cte, zapisuje
adr2 cte cte a zapisuje cte a zapisuje cte cte, zapisuje
adr3 cte cte a zapisuje cte cte a zapisuje cte, zapisuje
To neni muj okamzity vymysl, s necim takovym podobnym jsem se nedavno setkal pro preklapeni
ftp serveru z win do linuxu. Ve skutecnosti bylo tech uzivatelu pozadovano asi 12 a adresaru bylo
celkem asi 20.
Myslim, ze jednoduse to s pravy unixu udelat nejde, na novellu je to triviální.
Ruda
Další informace o konferenci Linux