Покотиленко Костик -> debian-russian@lists.debian.org @ Wed, 10 Dec 2008 12:56:25 +0200:
ПК> Если загвоздка в том, что не хочется делать коннект Сервер->Бэкап, ПК> решение я написал другим письмом: VPN Бэкап->Сервер, rdiff-backup ПК> Сервер->Бэкап через VPN. Я там ответил конкретно, а тут отвечу абстрактно. Ты предложил коннект Сервер->Бэкап. От того, что он делается через VPN, он не перестает быть коннектом Сервер->Бэкап. >> То есть когда по техническим причинам привилегия нужна, а по >> смыслу - нет. ПК> Мне так и не подсказали случаев где решение возможно только в ПК> помощью sudo. Мне почему-то кажется, что таких нет. Давайте ПК> разберёмся когда "техническим причинам привилегия нужна"? Всегда возможно сделать решение, которое обойдется без sudo. Не вопрос. Вопрос в том, какова будет цена этого решения, по сравнению с ценой решения на sudo, в интересующих нас параметрах, в первую очередь сложность и безопасность. Вон вышеприведенное тобой решение с VPN - оно и сложнее, и опаснее. Хотя возможно, не вопрос... >> Если "работающая" - это не оправдание усложнения, то что может быть >> оправданием? ПК> Оправдание. Только если есть несколько вариантов сделать систему ПК> "работающей", почему бы не выбрать тот, который: тянет меньше ПК> последствий, предрасполагает к дисциплине, потенциально менее опасен? Ну, для начала ты все же говорил о неоправданном _усложнении_. Впрочем, sudo еще и больше предрасполагает к дисциплине, и менее опасен. Если таки проанализировать всю модель угроз, а не те полтора следствия, которые кто-то случайно заметил. ПК> При всём при этом sudo *может* быть более простым вариантом в ПК> первоначальной настройки, если не принимать во внимание последующее ПК> обслуживание. И в обслуживании тоже. Чтобы отобрать у человека права на конкретной машине, мне достаточно вычистить его из sudoers. Если у него там su, т.е. знание рутового пароля - мне надо поменять пароль и быстро сообщить его всем, кому его положено знать. Если это более простой вариант, то что такое более сложный? Если мне надо дать возможность (плюс-минус любому) юзеру передернуть, допустим, принт-сервер, я пишу скрипт и пишу в sudoers %users (ALL) = NOPASSWD: /that/script Покажи мне более простое и не более опасное решение. Впрочем, нафига я это тебе объясняю?.. -- Artem Chuprina RFC2822: <ran{}ran.pp.ru> Jabber: [EMAIL PROTECTED] HTTP тоже не каждый дятел может сделать. Только дятлы об этом обычно не знают. Victor Wagner в <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]