[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: CD/DVD ROM eject: решение (или грабли?) вместо ivman

On 2006.03.01 at 18:37:55 +0300, Иван Лох wrote:

> > Не бывает однопользовательского юникса, бывают внешние устройства (в том
> > числе и с файловой системой внутри), которые следует рассматривать как
> > эксклюзивную собственность какого-то конкретного пользователя, т.е. как
> > часть его пользовательской консоли.
> > 
> > Сюда помимо монитора, клавиатуры и мыши входят как минимум звуковая
> > карта (колонки, микрофон) и все съемные устройства до которых
> > пользователь может руками дотянуться. 
> > 
> > Эти устройства должны обладать двумя свойствами
> > 1. По умолчанию должны быть недоступными всем остальным пользователям.
> > 2. Должны быть доступны всем процессам данной пользовательской сессии, где бы
> > физически эти процессы не выполнялись. 
> 
> У меня тут стоят сканер с одной стороны и принтер с другой. Обычно принтером
> пользуюсь я, но если сетевой принтер недоступен, то на него валятся и чужие 
> файлы. Более того, на него можно печатать специально. Для меня. Чей он?

Скорее общий, чем твой. Хотя протокол для работы с "частным"  принтером
в Unix как раз с незапамятных времен предусмотрен. Еще в те времена
когда такие принтеры подключали к текстовым терминалам, придумали для
этого capability в termcap (позднее в terminfo).

> То же самое сканер. Для того чтобы сканировать консоль, вообще говоря, не нужна.

Со сканером - хуже. У него редко бывает автоподача бумаги. Причем
автоподачи такой бумаги, которая нужна в сканере удаленному пользователю
- не бывает совсем.

Поэтому сканер я скорее склонен считать девайсом для интерактивной
работы, т.е. требующим физического и эксклюзивного доступа.


> Раньше при удаленном администрировании на медленных линиях часто приходилось
> просить вставить CDROM с каким-нибудь программным обеспечением. Что, любой кто
> находится физически у ящика может его извлечь?

Если соответствующий sysctl выставить, что собственно, предлагает
Рамендик, то да. Точнее, то не будет имеющейся в данный момент защиты от
нечаянного вытаскивания.


> 
> Много чаще есть два виртуальных дисплея. Оба локальные. Один активен, другой
> -- заперт: gdmgreeter из Lock Screen. Пользователи разные. Чей CDROM? 
> Biometrical на CD пока нет ;-}

Это уж как договоритесь. Это вопрос, который должен решаться на уровне
политики администрирования конкретной системы. 
Другое дело что средств для удобной реализации любой политики сейчас
нет.

> > Вот и надо оторвать CD-ROM-ы от этого "общего" случая. Во всяком случае
> > тогда когда юзер имеет физическую возможность и желание свободно
> > вставлять/вынимать диски.
> 
> И где грань? Съемный HDD он с какой стороны? У всех с разной.

Где локальный системный администратор провел - там и грань.
Reply to: