On 2006.03.01 at 18:37:55 +0300, Иван Лох wrote: > > Не бывает однопользовательского юникса, бывают внешние устройства (в том > > числе и с файловой системой внутри), которые следует рассматривать как > > эксклюзивную собственность какого-то конкретного пользователя, т.е. как > > часть его пользовательской консоли. > > > > Сюда помимо монитора, клавиатуры и мыши входят как минимум звуковая > > карта (колонки, микрофон) и все съемные устройства до которых > > пользователь может руками дотянуться. > > > > Эти устройства должны обладать двумя свойствами > > 1. По умолчанию должны быть недоступными всем остальным пользователям. > > 2. Должны быть доступны всем процессам данной пользовательской сессии, где > > бы > > физически эти процессы не выполнялись. > > У меня тут стоят сканер с одной стороны и принтер с другой. Обычно принтером > пользуюсь я, но если сетевой принтер недоступен, то на него валятся и чужие > файлы. Более того, на него можно печатать специально. Для меня. Чей он?
Скорее общий, чем твой. Хотя протокол для работы с "частным" принтером в Unix как раз с незапамятных времен предусмотрен. Еще в те времена когда такие принтеры подключали к текстовым терминалам, придумали для этого capability в termcap (позднее в terminfo). > То же самое сканер. Для того чтобы сканировать консоль, вообще говоря, не > нужна. Со сканером - хуже. У него редко бывает автоподача бумаги. Причем автоподачи такой бумаги, которая нужна в сканере удаленному пользователю - не бывает совсем. Поэтому сканер я скорее склонен считать девайсом для интерактивной работы, т.е. требующим физического и эксклюзивного доступа. > Раньше при удаленном администрировании на медленных линиях часто приходилось > просить вставить CDROM с каким-нибудь программным обеспечением. Что, любой кто > находится физически у ящика может его извлечь? Если соответствующий sysctl выставить, что собственно, предлагает Рамендик, то да. Точнее, то не будет имеющейся в данный момент защиты от нечаянного вытаскивания. > > Много чаще есть два виртуальных дисплея. Оба локальные. Один активен, другой > -- заперт: gdmgreeter из Lock Screen. Пользователи разные. Чей CDROM? > Biometrical на CD пока нет ;-} Это уж как договоритесь. Это вопрос, который должен решаться на уровне политики администрирования конкретной системы. Другое дело что средств для удобной реализации любой политики сейчас нет. > > Вот и надо оторвать CD-ROM-ы от этого "общего" случая. Во всяком случае > > тогда когда юзер имеет физическую возможность и желание свободно > > вставлять/вынимать диски. > > И где грань? Съемный HDD он с какой стороны? У всех с разной. Где локальный системный администратор провел - там и грань. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
