| 1 |
Eu tb acho o sistema padrão de permissões insuficientes, e como disse o |
| 2 |
Magno, ainda bem que existem as ACLS. Com certeza elas dão muito mais |
| 3 |
flexibilidade ao administrador. |
| 4 |
|
| 5 |
[ ]s |
| 6 |
|
| 7 |
Rodolfo Penha |
| 8 |
|
| 9 |
Magno Torres wrote: |
| 10 |
|
| 11 |
> Cada um deles terá que ter um grupo diferente, certo? |
| 12 |
> Se todos tem o user, fica uma brecha, todo arquivo q o usuário criar |
| 13 |
> terá esse grupo. |
| 14 |
> Nunca falei que nao era pra ter outros grupos, só to dizendo que é |
| 15 |
> melhor o grupo primário ser único - na maioria das vezes. Se vc quiser |
| 16 |
> um grupo de secretarias, crie um grupo pra elas e pronto, coloque elas |
| 17 |
> la, nao tem pq o arquivo dela ter um grupo primario igual ao do office |
| 18 |
> boy. |
| 19 |
> |
| 20 |
> Pro caso corporativo, todos nós temos que dar o braço a torcer, posi |
| 21 |
> as permissões do unix são insuficientes... não posso ter um grupo de |
| 22 |
> usuarios dentro de um grupo... Mas ainda bem que fizeram as acls pra |
| 23 |
> esses casoss ;) |
| 24 |
> |
| 25 |
> |
| 26 |
> Em 30/07/05, *Daniel da Veiga* <danieldaveiga@×××××.com |
| 27 |
> <mailto:danieldaveiga@×××××.com>> escreveu: |
| 28 |
> |
| 29 |
> Infelizmente sou obrigado a (denovo) discordar... Vamos ver, por |
| 30 |
> exemplo, uma universidade, cada usuário pertence a um grupo (ano de |
| 31 |
> ingresso) e pode compartilhar diretórios, trabalhos, scripts com |
| 32 |
> pessoas do mesmo grupo. Agora vejamos um colégio... Documentos da |
| 33 |
> secretaria podem ficar disponíveis para o Recursos Humanos. Onde eu |
| 34 |
> trabalho, sentenças de gabinete precisam ficar disponíveis para a |
| 35 |
> secretaria (leitura). Resumindo, esse negócio de um grupo para cada |
| 36 |
> usuário ao meu ver, só em máquinas single user, hehehe, pois em |
| 37 |
> qualquer ambiente corporativo isso acarretaria não ter grupos... |
| 38 |
> (imagina a zona setar grupos secundários para cada criatura num |
| 39 |
> sistema de mais de 200 usuários). |
| 40 |
> |
| 41 |
> Além disso, SIM, o sysadmin deve criar ferramentas para ver se o |
| 42 |
> babaca não deu um 777 recursivo no seu home. Se for o caso, |
| 43 |
> desabilitar o chmod e chown, se for o caso, educar as pessoas para |
| 44 |
> usarem, tem várias opções. O default do RH prá mim não serve, torna o |
| 45 |
> trabalho de manutenção de usuários inseguro e "preguiçoso". Tu |
| 46 |
> mencionaste algo sobre o cara usar errado as permissões de grupo, mas |
| 47 |
> e quanto as permissões de "others"??? Se o cara for fazer merda, ele |
| 48 |
> acha como, não importa se faz parte do grupo individual dele... |
| 49 |
> |
| 50 |
> On 7/29/05, Magno Torres <magnotorres@×××××.com |
| 51 |
> <mailto:magnotorres@×××××.com>> wrote: |
| 52 |
> > No mundo ideal seria ótimo que todos os usuários, a secretária, |
| 53 |
> o boy, o |
| 54 |
> > gerente do rh, fazendo um chmod, chown... mas sabemos que |
| 55 |
> dificilmente algum |
| 56 |
> > usuário se interessaria por essas ferramentas, na verdade, |
| 57 |
> muitos admins nem |
| 58 |
> > se importam de checar as permissões, portanto, um sistema Gentoo |
| 59 |
> por Default |
| 60 |
> > é mais inseguro que um RH - lembresse que estou usando a palavra |
| 61 |
> Default ! É |
| 62 |
> > muito ruim ter um grupo default pra todos, esse é o ponto! |
| 63 |
> > Se o cara quiser ver arquivos de outros, basta alguem bobear e |
| 64 |
> liberar a |
| 65 |
> > permissão de seu grupo padrão... |
| 66 |
> > |
| 67 |
> > Bom, se vc é um excelente admin - e acha q nao precisa ficar |
| 68 |
> paranoico nao |
| 69 |
> > deixando usuarios com o mesmo grupo - apenas se for necessário, |
| 70 |
> criar |
| 71 |
> > scripts q ficam monitorando isso pode ser uma solução. |
| 72 |
> > |
| 73 |
> > Setar cuidadosamente o umask tb, pois qquer deslize, ja tem um |
| 74 |
> cara no seu |
| 75 |
> > grupo... que vc nem sequer conhece, mas tudo bem. |
| 76 |
> > |
| 77 |
> > Agora o problema maior é a falta de padronização, se eu faço um |
| 78 |
> script e |
| 79 |
> > quero deixar ele GPL, não vou poder confiar nesse comando, já |
| 80 |
> que muda em |
| 81 |
> > cada plataforma e isso é lamentavel a meu ver, preferia que |
| 82 |
> todos fossem |
| 83 |
> > igual ao Gentoo ou RH ou Outra, mas infelizmente ta uma zona :) |
| 84 |
> > |
| 85 |
> > Já vi que iniciei uma guerra santa ehheehheeh |
| 86 |
> > Mas tentem mudar o paradigma e ver que posso estar certo, eu tb |
| 87 |
> achava |
| 88 |
> > legal todo mundo no mesmo diretório, agora vejo que isso é ruim |
| 89 |
> na maioria |
| 90 |
> > dos casos. Quando usuários precisarem ter o mesmo grupo, ai sim |
| 91 |
> se adiciona |
| 92 |
> > um comum e usa o SGID, fica liiiindU! |
| 93 |
> > |
| 94 |
> > []s |
| 95 |
> > |
| 96 |
> > Em 29/07/05, Murilo Belluzzo <murilo.belluzzo@×××××.com |
| 97 |
> <mailto:murilo.belluzzo@×××××.com>> escreveu: |
| 98 |
> > > criar um grupo de cada usuario eh a mesma coisa q não utilizar |
| 99 |
> grupos |
| 100 |
> > > .. eh paranoia pura ... mesmo pra um sistema de rh existe a |
| 101 |
> > > necessidade de mudanças q devem atingir a todos os usuarios |
| 102 |
> > > independente de grupo ... em um ambiente coorporativo basta |
| 103 |
> alterar o |
| 104 |
> > > grupo primario na hora da criação do usuario tornando assim |
| 105 |
> users um |
| 106 |
> > > grupo secundario e o home do usuario seria criado sobre o |
| 107 |
> grupo dele |
| 108 |
> > > na empresa ... useradd -g grupoespecifico -G users, outros |
| 109 |
> grupos e a |
| 110 |
> > > segurança continuaria a mesma do esquema d rh .... assim soh o |
| 111 |
> usuario |
| 112 |
> > > e o grupo dele teriam acesso ao home dir .... e no caso da |
| 113 |
> necessidade |
| 114 |
> > > de um home completamente fechado basta o adm logo depois do |
| 115 |
> comando |
| 116 |
> > > useradd tirar as permissoes tb do grupo de ler e executar files no |
| 117 |
> > > home do novo usuario ... da pra fazer com script se for o caso dos |
| 118 |
> > > mais preguiçosos ... alem de que deixar o home aberto apenas |
| 119 |
> para a |
| 120 |
> > > entrada permite ao usuario criar subpasta com grupo primario |
| 121 |
> diferente |
| 122 |
> > > q podem ser compartilhadas com o grupo sem corromper a |
| 123 |
> segurança do |
| 124 |
> > > seu home tornando o uso do home muito mais poderoso e flexivel e |
| 125 |
> > > ainda sim seguro ... permitindo ao usuario total controle de |
| 126 |
> quem e |
| 127 |
> > > onde pode acessar quais e com q nivel os seus arquivos. |
| 128 |
> > > |
| 129 |
> > > o q deve mudar não eh o sistema do gentoo em utilizar o grupo |
| 130 |
> users |
| 131 |
> > > como padrao e sim os admin que deveriam aprender a utilizar o |
| 132 |
> useradd |
| 133 |
> > > corretamente. |
| 134 |
> > > |
| 135 |
> > > man useradd e passem a utilizar todos os recursos que ela |
| 136 |
> > > disponibiliza como forma de melhorar seu sistema e não como |
| 137 |
> forma d |
| 138 |
> > > complicar as coisas. Mesmo pq no final das contas o user tera |
| 139 |
> total |
| 140 |
> > > controle do seu home e pode mudar tudo q foi feito ... |
| 141 |
> estimular os |
| 142 |
> > > usuarios a aprender a utilizar corretamente os comando chown e |
| 143 |
> chmod |
| 144 |
> > > pode evitar muitos problemas e melhorar muito a integração entre |
| 145 |
> > > grupos de trabalhos diferente ao invez de c tornar uma dor d |
| 146 |
> cabeça pq |
| 147 |
> > > um user num sabe utiliza-los direito e acaba fodendo com tudo ... |
| 148 |
> > > |
| 149 |
> > > On 7/29/05, Magno Torres <magnotorres@×××××.com |
| 150 |
> <mailto:magnotorres@×××××.com> > wrote: |
| 151 |
> > > > E na minha opinião, a falta de padronização é a grande |
| 152 |
> quimera do Linux, |
| 153 |
> > que |
| 154 |
> > > > precisa ser debatida sempre. |
| 155 |
> > > > Sei que não estou sozinho, pois vejo o apoio de todos a |
| 156 |
> iniciativas de |
| 157 |
> > > > padronização como a LSB e ao FreeDesktop, acho q deveriamos |
| 158 |
> ir mais além |
| 159 |
> > > > ainda. |
| 160 |
> > > > |
| 161 |
> > > > Eu fico muito feliz por ver os esforços na compatibilidade |
| 162 |
> entre KDE e |
| 163 |
> > > > Gnome graças ao freedesktop, ainda falta muito, mas está indo. |
| 164 |
> > > > |
| 165 |
> > > > Eu sempre usei KDE por exemplo - hoje uso xfce e vi q com |
| 166 |
> GTK da pra |
| 167 |
> > fazer |
| 168 |
> > > > algo muito parecido com o que é o KDE hoje, só que muito |
| 169 |
> mais leve. |
| 170 |
> > > > Até mesmo acharia legal um dia, ver o KDE usando gtk, seria |
| 171 |
> ótimo |
| 172 |
> > > > padronizarmos as bibliotecas no desktop, o sistema ficaria |
| 173 |
> muito mais |
| 174 |
> > leve. |
| 175 |
> > > > O contrario me deixaria contente também, ver o gnome usando |
| 176 |
> QT, mas acho |
| 177 |
> > > > muito mais dificil isso acontecer. Infelizmente C++ sempre |
| 178 |
> será um pouco |
| 179 |
> > > > mais pesado que C puro... Mas ficaria feliz em ver apenas |
| 180 |
> uma bilbioteca |
| 181 |
> > > > gráfica, poderia ter versões lite para mobiles e desktop |
| 182 |
> > > > |
| 183 |
> > > > Um dia quem sabe... Infelizmente, temos q conviver hoje com |
| 184 |
> sobrecarga |
| 185 |
> > no |
| 186 |
> > > > carregamento das bibliotecas, fazendo do linux um dos |
| 187 |
> ambientes mais |
| 188 |
> > pesados |
| 189 |
> > > > no desktop. Não da pra considerar o XFCE, Blackbox, etc como |
| 190 |
> desktops, e |
| 191 |
> > as |
| 192 |
> > > > opções KDExGnome exigem hardware parrudo, isso poderia ser bem |
| 193 |
> > minimizado se |
| 194 |
> > > > fosse adotado um padrão. O consumo de memória no Desktop |
| 195 |
> fica alto por |
| 196 |
> > conta |
| 197 |
> > > > dessas coisas - E digo, o grande culpado disso tudo é o Ego. |
| 198 |
> > > > |
| 199 |
> > > > Por isso lamento que coisas simples como um adduser teimem |
| 200 |
> em não se |
| 201 |
> > > > padronizar... |
| 202 |
> > > > []s |
| 203 |
> > > > |
| 204 |
> > > > |
| 205 |
> > > > Em 29/07/05, Daniel da Veiga < danieldaveiga@×××××.com |
| 206 |
> <mailto:danieldaveiga@×××××.com>> escreveu: |
| 207 |
> > > > > Na minha opinião o admin que se apóia em padrões de |
| 208 |
> distribuição (seja |
| 209 |
> > > > > qual for, sendo que as necessidades mudam) merece ter |
| 210 |
> problemas, setar |
| 211 |
> > > > > a máscara de arquivos não custa nada e evita isso. |
| 212 |
> > > > > |
| 213 |
> > > > > E também na minha modesta opinião, um grupo para cada |
| 214 |
> usuário é uma |
| 215 |
> > > > > maneira preguiçosa de impor segurança, mas isso é a minha |
| 216 |
> opinião. |
| 217 |
> > > > > Além disso, não creio que isso vá mudar (e nem faço |
| 218 |
> questão), por |
| 219 |
> > > > > isso, essa discussão é mais uma "flame war" sobre opiniões |
| 220 |
> > > > > divergentes, sendo assim, virou um debate sem muita |
| 221 |
> utilidade, onde |
| 222 |
> > > > > fecho minha contribuição. |
| 223 |
> > > > > |
| 224 |
> > > > > -- |
| 225 |
> > > > > Daniel da Veiga |
| 226 |
> > > > > Computer Operator - RS - Brazil |
| 227 |
> > > > > -----BEGIN GEEK CODE BLOCK----- |
| 228 |
> > > > > Version: 3.1 |
| 229 |
> > > > > GCM/IT/P/O d-? s:- a? C++$ UBLA++ P+ L++ E--- W+++$ N o+ |
| 230 |
> K- w O M- V- |
| 231 |
> > > > > PS PE Y PGP- t+ 5 X+++ R+* tv b+ DI+++ D+ G+ e h+ r+ y++ |
| 232 |
> > > > > ------END GEEK CODE BLOCK------ |
| 233 |
> > > > > |
| 234 |
> > > > > "Build a system that even an idiot can use and only an |
| 235 |
> idiot will use |
| 236 |
> > it" |
| 237 |
> > > > > |
| 238 |
> > > > > -- |
| 239 |
> > > > > gentoo-user-br@g.o |
| 240 |
> <mailto:gentoo-user-br@g.o> mailing list |
| 241 |
> > > > > |
| 242 |
> > > > > |
| 243 |
> > > > |
| 244 |
> > > > |
| 245 |
> > > > |
| 246 |
> > > > -- |
| 247 |
> > > > |
| 248 |
> > > > []s Magno |
| 249 |
> > > > Linux user: #123834 |
| 250 |
> > > > http://counter.li.org |
| 251 |
> > > > |
| 252 |
> > > |
| 253 |
> > > |
| 254 |
> > > -- |
| 255 |
> > > |
| 256 |
> > |
| 257 |
> ------------------------------------------------------------------------------------ |
| 258 |
> |
| 259 |
> > > Murilo Pinoti Belluzzo |
| 260 |
> > > Engenharia de Computação - UNICAMP |
| 261 |
> > > Campinas, SP |
| 262 |
> > > |
| 263 |
> > |
| 264 |
> ------------------------------------------------------------------------------------ |
| 265 |
> > > |
| 266 |
> > > -- |
| 267 |
> > > gentoo-user-br@g.o <mailto:gentoo-user-br@g.o> |
| 268 |
> mailing list |
| 269 |
> > > |
| 270 |
> > > |
| 271 |
> > |
| 272 |
> > |
| 273 |
> > |
| 274 |
> > -- |
| 275 |
> > []s Magno |
| 276 |
> > Linux user: #123834 |
| 277 |
> > http://counter.li.org |
| 278 |
> > |
| 279 |
> |
| 280 |
> |
| 281 |
> -- |
| 282 |
> Daniel da Veiga |
| 283 |
> Computer Operator - RS - Brazil |
| 284 |
> -----BEGIN GEEK CODE BLOCK----- |
| 285 |
> Version: 3.1 |
| 286 |
> GCM/IT/P/O d-? s:- a? C++$ UBLA++ P+ L++ E--- W+++$ N o+ K- w O M- V- |
| 287 |
> PS PE Y PGP- t+ 5 X+++ R+* tv b+ DI+++ D+ G+ e h+ r+ y++ |
| 288 |
> ------END GEEK CODE BLOCK------ |
| 289 |
> |
| 290 |
> -- |
| 291 |
> gentoo-user-br@g.o <mailto:gentoo-user-br@g.o> |
| 292 |
> mailing list |
| 293 |
> |
| 294 |
> |
| 295 |
> |
| 296 |
> |
| 297 |
> -- |
| 298 |
> []s Magno |
| 299 |
> Linux user: #123834 |
| 300 |
> http://counter.li.org |
| 301 |
|
| 302 |
|
| 303 |
-- |
| 304 |
gentoo-user-br@g.o mailing list |
Archives