Re: CD/DVD ROM eject: решение (или грабли?) вместо ivman
On 2006.03.01 at 18:37:55 +0300, Иван Лох wrote:
> > Не бывает однопользовательского юникса, бывают внешние устройства (в том
> > числе и с файловой системой внутри), которые следует рассматривать как
> > эксклюзивную собственность какого-то конкретного пользователя, т.е. как
> > часть его пользовательской консоли.
> >
> > Сюда помимо монитора, клавиатуры и мыши входят как минимум звуковая
> > карта (колонки, микрофон) и все съемные устройства до которых
> > пользователь может руками дотянуться.
> >
> > Эти устройства должны обладать двумя свойствами
> > 1. По умолчанию должны быть недоступными всем остальным пользователям.
> > 2. Должны быть доступны всем процессам данной пользовательской сессии, где бы
> > физически эти процессы не выполнялись.
>
> У меня тут стоят сканер с одной стороны и принтер с другой. Обычно принтером
> пользуюсь я, но если сетевой принтер недоступен, то на него валятся и чужие
> файлы. Более того, на него можно печатать специально. Для меня. Чей он?
Скорее общий, чем твой. Хотя протокол для работы с "частным" принтером
в Unix как раз с незапамятных времен предусмотрен. Еще в те времена
когда такие принтеры подключали к текстовым терминалам, придумали для
этого capability в termcap (позднее в terminfo).
> То же самое сканер. Для того чтобы сканировать консоль, вообще говоря, не нужна.
Со сканером - хуже. У него редко бывает автоподача бумаги. Причем
автоподачи такой бумаги, которая нужна в сканере удаленному пользователю
- не бывает совсем.
Поэтому сканер я скорее склонен считать девайсом для интерактивной
работы, т.е. требующим физического и эксклюзивного доступа.
> Раньше при удаленном администрировании на медленных линиях часто приходилось
> просить вставить CDROM с каким-нибудь программным обеспечением. Что, любой кто
> находится физически у ящика может его извлечь?
Если соответствующий sysctl выставить, что собственно, предлагает
Рамендик, то да. Точнее, то не будет имеющейся в данный момент защиты от
нечаянного вытаскивания.
>
> Много чаще есть два виртуальных дисплея. Оба локальные. Один активен, другой
> -- заперт: gdmgreeter из Lock Screen. Пользователи разные. Чей CDROM?
> Biometrical на CD пока нет ;-}
Это уж как договоритесь. Это вопрос, который должен решаться на уровне
политики администрирования конкретной системы.
Другое дело что средств для удобной реализации любой политики сейчас
нет.
> > Вот и надо оторвать CD-ROM-ы от этого "общего" случая. Во всяком случае
> > тогда когда юзер имеет физическую возможность и желание свободно
> > вставлять/вынимать диски.
>
> И где грань? Съемный HDD он с какой стороны? У всех с разной.
Где локальный системный администратор провел - там и грань.
Reply to: