(alv @ Пятница, 13 Мая 2005, 6:32) писал(а):Если для такой элементарной операции, как причисление пользователя к группе wheel, которую можно выполнить полудюжиной более/менее универсальных способов, изобретается специальная, нигде более не виданная команда... Старина Оккам схватился бы за голову.
Вот теперь точно - Dixi
нет уж, позвольте. Уважаемый alv, о какой команде Вы говорите?
если я недостаточно ясно выразился, смиренно предлагаю более развернутый вариант:
#control su help
public: Any user can execute /bin/su
wheel: Any user can execute /bin/su, but only "wheel" group members can switch to superuser
wheelonly: Only "wheel" group members can execute /bin/su
restricted: Only root can execute /bin/su
#
перевожу:
в режиме public использовать su может любой пользователь
в режиме wheel использовать su может любой пользователь, но только члены группы wheel могут получить рута через su.
wheelonly - только члены группы wheel могут запускать su.
restricted - только root может запускать su.
переключение между режимами осуществляется утилитой control:
control su public, control su wheel, и т.д.
Обращаю внимание уважаемого alv, что в режимах wheelonly и wheel возможность использовать su зависит только от принадлежности к группе wheel - каковая принадлежность может и должна быть назначена
независимо от control - полудюжиной более-менее универсальных способов.
Если мне будет позволено, осмелюсь указать глубокоуважаемому alv, что control - вовсе не средство управления доступом к su, а более-менее универсальный механизм переключения между неким набором фиксированных состояний, для задач, допускающих такой набор.
Так, например, команды
control cdrecord public и
control cdrecord restricted соответственно разрешают использование cdrecord для всех пользвателей, либо только для членов группы cdrecord.
Для каждой facility существует скрипт в /etc/control.d/facilities/, который фактически выполняет переключение. Полный список facilities:
# ls -1 /etc/control.d/facilities/ | xargs
amcheck at calcsize cdrdao cdrecord chage chfn chsh cifsmount consolehelper crontab cups dumper dvd+rw-booktype dvd+rw-format dvd+rw-mediainfo dvd-ram-control growisofs hddtemp iftop killpgrp kppp mod_php4 mount mount.rpmsave passwd ping planner postfix postqueue pppoe-wrapper readcd rscsi rundump runtar sftp smbmount su sudo tcb_chkpwd usernetctl write xorg-server
запустив control без параметров, можно увидеть полный список facilities вместе с их текущим состояием и набором допустимых сосотояний.
Поскольку alv утверждает что команда control изобретена в ALT Linux, позволю себе указать на неверность данного утверждения:
#man 8 control:
HISTORY
control first appeared in Openwall GNU/*/Linux 0.1.
Считаю необходимым подчеркнуть, что никакой мистики в control нет: все операции, выполненные скриптом, конечно же могут быть сделаны вручную, если кому-то по какой-либо причине не нравится дистроспецифичная автоматизация. В частности, для команды su это производится сменой прав доступа на /bin/su.
Мне как-то неловко предлагать глубокоуважаемому alv поискать в google control, поэтому хочу надеяться, что в процитированном абзаце уважаемый господин alv в силу загруженности не смог воспользоваться google и, искренне заблуждаясь, сделал вывод из неверных посылок. В этом случае ему наверное будет нетрудно учесть сделанные замечания.
Я ни на секунду не могу представить, что господин alv способен намеренно игнорировать имеющуюся у него (или легко доступную через google) информацию и делать тенденциозные выводы, пользуясь неосведомленностью аудитории. Конечно же, это не так. Я не верю что такое возможно.
Да, требует уточнения следующий момент:
после установки ALT Linux Master права на /bin/su по умолчанию ("из коробки") соответствуют режиму public - то есть любой пользователь запустив su и набрав пароль рута, получает оболочку с правами суперпользователя.
Однако, в дистрибутиве ALT Linux Master существует специальный режим установки: "Expert". Он, как следует из названия, предназначен для лиц, имеющих достаточно глубокое знание GNU/Linux и особенностей дистрибутива ALT Master.
Произведя установку в этом режиме, пользователь получает систему рассчитанную именно на таких лиц. В частности, su находится в режиме wheelonly.
В связи с этим иногда возникают проблемы у пользователей, не соответствующих целевой аудитории данного режима установки, но тем не менее выбравших его.
Разумеется, это их право - пользоваться любыми доступными функциями программы установки. Однако это не влечет за собой права рапространять - даже на правах субъективного мнения - неверную или неполную информацию, которая неосведомленными читателями может быть воспринята неправильно. В частности, неполной информацией является высказывание:
"после установки su заблокировано". Для полноты следует добавить "при установке ALT Master в режиме Expert .. . и т.д. : в такой формулировке это будет чистая правда, факт, к которому относиться можно по-разному, но никому в голову не придет спорить о его достоверности.
