Re: dischi usb e permessi
Il 12 gennaio 2014 12:34, Gian Uberto Lauri <GianUberto.Lauri@eng.it>
ha scritto:
>
> L'errore è nell'accettare una soluzione 'facile' ma intrinsecamente
> non coretta sia per questioni di sicurezza sia di creazione
> dell'interfaccia.
>
sinceramente io non vedo cosa ci sia di scorretto, sia dal punto di
vista della facilità d'uso e della sicurezza sul modo di operare per
l'uso delle periferiche usb di debian.
come già detto uso KDE e la mia macchina è una unstable, quando
inserisco una periferica di massa nell'usb appare un popup dalla tray
icon che mi avverte che è stato inserito un dispositivo, non monta
nulla, non avviene null'altro e dopo qualche secondo il popup si
chiude da solo.
a questo punto basta un click nella tray icon per riaprire il
"notificatore di dispositivi", selezionando il dispositivo mi da una
serie di operazioni che posso eseguire (se è un cd posso anche
riprodurlo senza montarlo, un DVD gli posso dire di visualizzarmelo
con vlc, una macchina fotografica posso vedere direttamente le foto o
attivare un programma che mi scarichi le foto in una posizione
prestabilita), ma nulla è eseguito se non lo scelgo esplicitamente. Se
è una pendrive, e e gli dico di montarla, questa viene montata (e
identificata univocamente) in una posizione ben precisa, in
/media/nome utente/identificativo periferica/ e viene montata con i
permessi solo per quell'utente, qualsiasi altro utente non ha
l'accesso a questa risorsa e non può neppure smontarla (ho verificato,
quindi so di cosa sto parlando).
Quindi che cosa c'é che non va? quali sarebbero i problemi di
sicurezza? perché è sbagliato questa semi automatizzazione?
ed è un sistema che mi pare corretto sia nella singola utenza, che
nella multi utenza, e senza far dannare l'utente che conosce poco o
nulla di informatica.
> Bene o male tutte le macchine hanno un numero finito di porte USB, e
> già per le classiche penne USB non partizionate e formattate con vfat
> mettere 'user' tra le opzioni di fstab per tutte le possibili penne
> presenti contemporaneamente come /dev/sd?1. Si possono peraltro fare
> dei link simbolici ai device per renderli più facili da ricordare.
è già ben oltre alle possibilità della maggior parte degli utenti.
> Non dovrebbe essere una gran noce scrivere un programma che
> generli le entry per lo fstab noto il numero di porte USB che si
> pensa di utilizzare per le penne usb.
ma perché mi devo dannare l'anima, che già qualsiasi periferica mi
viene riconosciuta con un nome univoco, montato sempre nello stesso
posto (un posto creato dinamicamente con il nome univoco dell'utente
che lo monta e con il nome univoco della periferica)?
fstab io lo lascio per le cose che rimangono sempre inserite o per le
condivisioni di rete che voglio permettere sia fatto da parte di tutti
gli utenti senza continuare a montare e smontare.
> Questo non permette ancora di sapere che il file system contenuto
> nella tal penna comparirà in un ben determinato posto, che dipende
> dall'ordine di inserimento, cosa che o rende non banale fare degli
> script per automatizzare operazioni che coinvolgano il contenuto di
> una certa penna usb oppure ti impone di seguire sempre quell'ordine di
> inserimento dei device (motivo per cui ho scelto di mettere le
> label agli sticks con vfat e uso lvm per gli hd rimovibili).
ripeto... le periferiche sono riconosciute e identificate con un ID
univoco, quindi hanno sempre lo stesso nome, e sono montate sempre
nello stesso posto (dallo stesso utente).
> Sarebbe una solutione (sempre subottima) un tool inattivo per default
> - ma facilmente attivabile se installato - che permetta nei casi in
> cui c'è sempre e solo un utente collegato di attuare gli automatismi
> che l'utente desidera siano attuati, ad esempio ti mostro solo il
> device inattivo (poi tu lo attivi-monti), ti mostro un poput e monto,
> oppure monto in automatico (pericoloso).
è così infatti, con la differenza che hanno scelto di non fare il
mount automatico, ma sempre e solo il popup e lasciare il device
inattivo fino alla scelta dell'utente.
Ricordiamoci poi che solitamente le periferiche montate sono sempre
montate con i permessi che non permettono l'esecuzione di programmi
e/o script sulla periferica stessa, quindi non vedo che problemi ci
siano per la sicurezza...
>> Qui mi trovi invece parzialmente concorde... ma questo non vuol dire
>> che almeno in alcune cose winzoz e questi DE siano delle immonde
>> schifezze...
>
>
> Nel momento in cui un programma espone ad un pericolo (di recare
> danni a se o altri - ricordare che c'è anche questa di possibilità)
> questo programma è fatto male.
concordo
> Nel momento in cui un programma lo
> imita anche nei comportamenti scorretti è forse fatto ancora peggio
> oppure denota un male ancora più subdolo del primo programma, una
> specie di 'multilazione mentale' indotta negli utenti che non riescono
> più a vederne i difetti.
concordo anche sul fatto che analizzando il primo, in quello che "lo
copia" i problemi di sicurezza dovrebbero essere risolti, e credo che
tutto sommato in linux la cosa sia abbastanza vicina alla realtà... si
è presa l'impronta di quello che è il modo visuale, ma il modo
operativo è totalmente differente, anzi... ora pare che sia winzoz
alla rincorsa...
>> tutto sta nel capire che cosa si deve dare ad un utente
>> desktop, dobbiamo parlare di sistemi alla portata di tutti, che entri
>> in un ambiente casalingo e/o lavorativo con certi standard di
>> sicurezza, di affidabilità e di facilità d'uso...
>
>
> Per la facilità di uso hanno già messo a repentaglio la sicurezza e
> non una volta sola.
in linux non dovrebbe succedere, fino a che le interfacce saranno solo
interfacce, ma il sistema viene amministrato esclusivamente nel
kernel, quando cominceranno ad esserci programmi che accedono
direttamente all'HW saltanto il sistema, allora saremo sicuramente in
prossimità di una grave crisi di sicurezza.
> Le GTK mi piacciono come modello di programmazione, non sei costretto
> ad usare il C++ - che non mi piace -
neppure con le QT sei obbligato ad usare per forza il C++, io uso le
QT con python.
>>>
>>> Ammetto che quelle cose nemmeno le guardo che non mi servono (ci metto
>>> niente a scrivere mount /tux o /panda).
>>
>>
>> come può? visto che non è amministratore) per poi poterla montare
>> tranquillamente le volte successive... (lo devi fare tu che sei
>> amministratore, mi potresti dire... certo... ma se io mi trovo a mille
>> chilometri di distanza e lui ha urgenza di leggere il contenuto di
>> questa chiavetta?).
>
>
> Perdonami, il sistema chi lo ha installato?
il sistema l'ho installato io, ma non posso fargli la balia per ogni
cosa. Se lo metto in grado di potersi arrangiare con piccoli
automatismi controllati, non vedo perché non devo farlo. Scrivere io
degli script per il mount e il dismount, per ogni singola periferica
che lui debba installare, oppure lasciare che il sistema gli apra un
popup che gli permetta di usare un sistema standard per ogni
periferica, anche quelle che io ho previsto, non mi pare una cattiva
idea. sopratutto tenendo in considerazione che non vado a creare un
buco di sicurezza (ripeto, nessuna esecuzione da periferiche montate,
nessun automount, ma solo mount su richiesta, mount in un mount point
di proprietà dell'utente che monta e non di altri)...
>> ecco ci risiamo con il talebano di turno, per cui tutti gli altri
>> sbagliano...
>> Unix è multiutenza... embhe... che me ne frega? io sto usando il mio
>> computer a casa, non me ne frega nulla che virtualmente ci si possano
>> connettere ed usarne le risorse chissà quanti utenti
>
>
> Non lo so, a me me ne frega che dove non ci sono molti soldi una sola
> macchina permetta comunque a più persone di lavorare e/o imparare.
evidentemente ti sei offeso per averti dato del talebano e ti sei
fermato nella lettura, c'erano altre cose in seguito...
comunque non c'era nessuna intenzione di offesa, è una semplice discussione.
e poi... pure nelle tua firma di indichi come "integralista"... :P
> /___/\_|_|\_|__|___Gian Uberto Lauri_____ African word
> //--\| | \| | Integralista GNUslamico meaning "I can
> \/ e coltivatore diretto not install
> di software Debian"
mi piace il "coltivatore diretto di software", auguri di buon raccolto
(anche per noi).
Byez
--
Gollum1
Tesssssoro, dov'é il mio tessssoro...
Reply to: