uzivatele a prava

Vasek Stodulka xvasek na gmail.com
Pondělí Srpen 29 15:06:51 CEST 2005 

On Mon, 29 Aug 2005 02:03:18 +0200, Petr Vileta <stoupa na practisoft.cz> wrote:

>  Jenze jakeho vlastnika date tem samotnym programum? Bude napriklad 
>  pozadavek, ze ucetni smi Mozillu (program) i preinstalovat, ale kolegyne to 
>  nesmi. Ovsem obe maji pravo to spoustet.
>  V Novellu i ve Windows (w2k, XP-Pro) lze velmi jednoduse nastavit kazdemu 
>  adresari a kazdemu programu (vcetne dedicnosti), kdo to smi spoustet, kdo to 
>  smi smazat atd. Muzete do seznamu opravnenych pridavat jak jednotlive 
>  uzivatele, tak skupiny.

	Porad tam ale nevidim zadny rozpor, proc by to UN*Xu jit nemelo. :)
Pravo preinstalovani softwaru ma bud root (a uzivatele deleguje pres sudo),
nebo spravce baliku, coz se osetri pres vlastnictvi adresru a soboru nekde v
/opt - to funguje bezvadne. Pokud mate vic spravcu jednoho baliku, muzete
bud vytvret pseudouzivatele pro dany balik, kde dany pseudouzivatel ma pravo
w a skupina ma rx a to zaruci pouzitelnost daneho baliku a vsichni spravci
znaji heslo daneho pseudouzivatele (nebo maji nejaky klic nebo tak neco),
nebo muzete zase delegovat pres sudo. Toto vsechno perfektne funguje a
hlavne se strasne jednoduse audituje. Navic je super atribut sticky (o+t),
ktery se mi ve Windows neporadilo rozumne nasimulovat - tedy to, abych mel
"smetiste", kde si kazdy vytvari soubory a upravuje na svych soborech a
adresarich (a podadresarich) prava.

	Neni samozrejme vsechno uplne super, situace se komplikuje zejmena
u techto bodu:

- Nejde vytvorit skupina skupin, tedy neco jako treba "power users", ktera
by garantovala clenstvi ve vice skupinach

- Problem je se smetistem v pripade, kdy se uzivatele nechteji ucit pristupova
prava a chteji delat "vsichni vsechno se vsemi adresari a soubory" - pak je
skoro lepsi to naformatovat na vfat a primountovat s pravy 777 - toto obecne
neresi ani koncept UN*Xovych ACL, kde prave chybi dedicnost "nobody+rwx" na
podadresare.

- Nutnost resit situaci se sluzbami typu apache a adresar public_html, kdy
musim povolit o+x na svuj home. To se da obejit pres umisteni public_html
nekde mimo home a mit public_html jenom jako link, ale takovych sluzeb je
vic a pokud ma mit home go-rwx, tak je potreba dat si na to pozor.

- Kdyz chci ukazat kamosovi neco, co by nikdo jiny nemel videt, tak musim
pouzit security by obscurity a zkopirovat to do tempu do adresare "tajne"
pod nazvem tady_to_nikdo_nenajde.txt a nastavit prava o-rw+x na adresar
"tajne".

	Ted zalezi na tom, kdo s tim systemem bude pracovat. Pokud to budou
lidi, kterym nevadi ucit se nove veci (typicky treba studenti), tak jsou
UN*Xova prava opravdu jednodussi a audity opravdu superjednoduche (coz je
jednoznacne nejvetsi plus) a neni snad ani nic lepsiho. Pokud se to nasazuje
do enterprise, tak z toho lidi moc nadseni nebudou a aspon jedna partition
na serveru by mela ACL umet. Vyhodou je pak to, ze ACL nemusi umet vsechny
partition - u Windows prejit na nejaky zjednoduseny mod nelze a je to skoda.

	Takze moje zaverecna rada: UN*Xova prava kde to jenom jde, ale zase
to nelamat pres koleno - toliko moje zkusenosti z enterprise.

-- 
Vašek Stodůlka
tel.: +420 608 200 860

Další informace o konferenci Linux