Re: sudo ws root
Покотиленко Костик -> debian-russian@lists.debian.org @ Wed, 10 Dec 2008 12:56:25 +0200:
ПК> Если загвоздка в том, что не хочется делать коннект Сервер->Бэкап,
ПК> решение я написал другим письмом: VPN Бэкап->Сервер, rdiff-backup
ПК> Сервер->Бэкап через VPN.
Я там ответил конкретно, а тут отвечу абстрактно. Ты предложил коннект
Сервер->Бэкап. От того, что он делается через VPN, он не перестает быть
коннектом Сервер->Бэкап.
>> То есть когда по техническим причинам привилегия нужна, а по
>> смыслу - нет.
ПК> Мне так и не подсказали случаев где решение возможно только в
ПК> помощью sudo. Мне почему-то кажется, что таких нет. Давайте
ПК> разберёмся когда "техническим причинам привилегия нужна"?
Всегда возможно сделать решение, которое обойдется без sudo. Не
вопрос. Вопрос в том, какова будет цена этого решения, по сравнению с
ценой решения на sudo, в интересующих нас параметрах, в первую очередь
сложность и безопасность. Вон вышеприведенное тобой решение с VPN - оно
и сложнее, и опаснее. Хотя возможно, не вопрос...
>> Если "работающая" - это не оправдание усложнения, то что может быть оправданием?
ПК> Оправдание. Только если есть несколько вариантов сделать систему
ПК> "работающей", почему бы не выбрать тот, который: тянет меньше
ПК> последствий, предрасполагает к дисциплине, потенциально менее опасен?
Ну, для начала ты все же говорил о неоправданном _усложнении_. Впрочем,
sudo еще и больше предрасполагает к дисциплине, и менее опасен. Если
таки проанализировать всю модель угроз, а не те полтора следствия,
которые кто-то случайно заметил.
ПК> При всём при этом sudo *может* быть более простым вариантом в
ПК> первоначальной настройки, если не принимать во внимание последующее
ПК> обслуживание.
И в обслуживании тоже. Чтобы отобрать у человека права на конкретной
машине, мне достаточно вычистить его из sudoers. Если у него там su,
т.е. знание рутового пароля - мне надо поменять пароль и быстро сообщить
его всем, кому его положено знать. Если это более простой вариант, то
что такое более сложный?
Если мне надо дать возможность (плюс-минус любому) юзеру передернуть,
допустим, принт-сервер, я пишу скрипт и пишу в sudoers
%users (ALL) = NOPASSWD: /that/script
Покажи мне более простое и не более опасное решение.
Впрочем, нафига я это тебе объясняю?..
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
HTTP тоже не каждый дятел может сделать. Только дятлы об этом обычно не знают.
Victor Wagner в <b9td98$d8k$3@wagner.wagner.home>
Reply to: