Hi; [On Tue Sep 21 07:50:28 2004 +0200, Martin Dickopp wrote:] > Auch wenn Du diese Konfiguration bevorzugst, erscheint mir doch > zweifelhaft, ob das wirklich das ist, was "man" erreichen will. > Ich jedenfalls möchte /nicht/, daß über das Netz eingeloggte User > auf jede CD zugreifen können, die der lokale User gerade eingelegt > hat. Eine ideale Konfig für jeden Zweck gibt es wohl nicht, der Admin sollte sich halt jeweils überlegen, was er für die aktuelle Situation bevorzugt (was von der Anzahl der Benutzer, deren Zuverlässigkeit, der Frage, wie kritisch ein Mißbrauch wäre und weiteren Dingen abhängen dürfte). Allerdings spielt die Frage, von wo die Leute eingeloggt sind, auch keine Rolle bzgl. des device-Zugriffs, wenn man das nur über Gruppen regelt - entweder sind die Leute in der Gruppe und dürfen zugreifen, dann aber von überall, oder sie sind es nicht und dürften auch von Konsole / X11 aus nicht, wenn sie vor der Kiste sitzen. Allerdings hätte die Methode den Vorteil hat, daß man regeln kann, wer darf und wer nicht, System-Accounts normalerweise nicht dürfen (was im Falle von Exploits ein Vorteil sein kann, auch wenn der Lese-Zugriff auf ein CD-ROM da sicherlich nicht das wichtigste ist). Um zwischen lokal und remote zu unterscheiden, müßte man schon in den login-Skripten des gdm o.ä. besser ein chown des devices auf den aktuellen User anwenden (dann ohne Gruppenrechte für irgendwelche Benutzer und nach logout natürlich wieder ein chown zurück auf root). In anderen Situationen könnte es sinnvoll sein, statt 'cdrom' eine ohnehin vorhandene andere Gruppe, in der die entsprechenden User drin sind, zu verwenden etc. Ggfs. kann man solche Sachen auch in adduser einhängen (wenn man das mehr oder weniger für alle 'normalen' Benutzer will, ohne das jedesmal von Hand eintragen zu müssen). Wie gesagt, je nach Situation kann man da mehr oder weniger beliebig komplizierte Sachen treiben... Gruß Mawan -- ## ## # *** M A R T I N W A N K E *** # # # # # # ## # ## # mail: debianlists@computing.mawan.de # # # # # WWW: http://www.mawan.de/ # ## ## PGP: http://www.mawan.de/aboutme/PGP-Keys/ *** In der modernen Literaturwissenschaft ist es doch richtig in, jeden *** *** Autoren als schwul zu bezeichnen oder, wenn das nicht geht, *** *** zumindest die Charaktere. *** *** [Dorte Schuenecke in de.alt.fan.harry-potter, 14.07.2003] ***
Attachment:
pgpQ54Gs2KsJq.pgp
Description: PGP signature