[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: sudo ws root

Покотиленко Костик -> debian-russian@lists.debian.org  @ Wed, 10 Dec 2008 12:56:25 +0200:

 ПК> Если загвоздка в том, что не хочется делать коннект Сервер->Бэкап,
 ПК> решение я написал другим письмом: VPN Бэкап->Сервер, rdiff-backup
 ПК> Сервер->Бэкап через VPN.

Я там ответил конкретно, а тут отвечу абстрактно.  Ты предложил коннект
Сервер->Бэкап.  От того, что он делается через VPN, он не перестает быть
коннектом Сервер->Бэкап.

 >>  То есть когда по техническим причинам привилегия нужна, а по
 >> смыслу - нет.

 ПК> Мне так и не подсказали случаев где решение возможно только в
 ПК> помощью sudo. Мне почему-то кажется, что таких нет. Давайте
 ПК> разберёмся когда "техническим причинам привилегия нужна"?

Всегда возможно сделать решение, которое обойдется без sudo.  Не
вопрос.  Вопрос в том, какова будет цена этого решения, по сравнению с
ценой решения на sudo, в интересующих нас параметрах, в первую очередь
сложность и безопасность.  Вон вышеприведенное тобой решение с VPN - оно
и сложнее, и опаснее.  Хотя возможно, не вопрос...

 >> Если "работающая" - это не оправдание усложнения, то что может быть оправданием?

 ПК> Оправдание. Только если есть несколько вариантов сделать систему
 ПК> "работающей", почему бы не выбрать тот, который: тянет меньше
 ПК> последствий, предрасполагает к дисциплине, потенциально менее опасен?

Ну, для начала ты все же говорил о неоправданном _усложнении_.  Впрочем,
sudo еще и больше предрасполагает к дисциплине, и менее опасен.  Если
таки проанализировать всю модель угроз, а не те полтора следствия,
которые кто-то случайно заметил.

 ПК> При всём при этом sudo *может* быть более простым вариантом в
 ПК> первоначальной настройки, если не принимать во внимание последующее
 ПК> обслуживание.

И в обслуживании тоже.  Чтобы отобрать у человека права на конкретной
машине, мне достаточно вычистить его из sudoers.  Если у него там su,
т.е. знание рутового пароля - мне надо поменять пароль и быстро сообщить
его всем, кому его положено знать.  Если это более простой вариант, то
что такое более сложный?

Если мне надо дать возможность (плюс-минус любому) юзеру передернуть,
допустим, принт-сервер, я пишу скрипт и пишу в sudoers

%users (ALL) = NOPASSWD: /that/script

Покажи мне более простое и не более опасное решение.

Впрочем, нафига я это тебе объясняю?..

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

HTTP тоже не каждый дятел может сделать. Только дятлы об этом обычно не знают.
	Victor Wagner в <b9td98$d8k$3@wagner.wagner.home>
Reply to: