1 |
Eu tb acho o sistema padrão de permissões insuficientes, e como disse o |
2 |
Magno, ainda bem que existem as ACLS. Com certeza elas dão muito mais |
3 |
flexibilidade ao administrador. |
4 |
|
5 |
[ ]s |
6 |
|
7 |
Rodolfo Penha |
8 |
|
9 |
Magno Torres wrote: |
10 |
|
11 |
> Cada um deles terá que ter um grupo diferente, certo? |
12 |
> Se todos tem o user, fica uma brecha, todo arquivo q o usuário criar |
13 |
> terá esse grupo. |
14 |
> Nunca falei que nao era pra ter outros grupos, só to dizendo que é |
15 |
> melhor o grupo primário ser único - na maioria das vezes. Se vc quiser |
16 |
> um grupo de secretarias, crie um grupo pra elas e pronto, coloque elas |
17 |
> la, nao tem pq o arquivo dela ter um grupo primario igual ao do office |
18 |
> boy. |
19 |
> |
20 |
> Pro caso corporativo, todos nós temos que dar o braço a torcer, posi |
21 |
> as permissões do unix são insuficientes... não posso ter um grupo de |
22 |
> usuarios dentro de um grupo... Mas ainda bem que fizeram as acls pra |
23 |
> esses casoss ;) |
24 |
> |
25 |
> |
26 |
> Em 30/07/05, *Daniel da Veiga* <danieldaveiga@×××××.com |
27 |
> <mailto:danieldaveiga@×××××.com>> escreveu: |
28 |
> |
29 |
> Infelizmente sou obrigado a (denovo) discordar... Vamos ver, por |
30 |
> exemplo, uma universidade, cada usuário pertence a um grupo (ano de |
31 |
> ingresso) e pode compartilhar diretórios, trabalhos, scripts com |
32 |
> pessoas do mesmo grupo. Agora vejamos um colégio... Documentos da |
33 |
> secretaria podem ficar disponíveis para o Recursos Humanos. Onde eu |
34 |
> trabalho, sentenças de gabinete precisam ficar disponíveis para a |
35 |
> secretaria (leitura). Resumindo, esse negócio de um grupo para cada |
36 |
> usuário ao meu ver, só em máquinas single user, hehehe, pois em |
37 |
> qualquer ambiente corporativo isso acarretaria não ter grupos... |
38 |
> (imagina a zona setar grupos secundários para cada criatura num |
39 |
> sistema de mais de 200 usuários). |
40 |
> |
41 |
> Além disso, SIM, o sysadmin deve criar ferramentas para ver se o |
42 |
> babaca não deu um 777 recursivo no seu home. Se for o caso, |
43 |
> desabilitar o chmod e chown, se for o caso, educar as pessoas para |
44 |
> usarem, tem várias opções. O default do RH prá mim não serve, torna o |
45 |
> trabalho de manutenção de usuários inseguro e "preguiçoso". Tu |
46 |
> mencionaste algo sobre o cara usar errado as permissões de grupo, mas |
47 |
> e quanto as permissões de "others"??? Se o cara for fazer merda, ele |
48 |
> acha como, não importa se faz parte do grupo individual dele... |
49 |
> |
50 |
> On 7/29/05, Magno Torres <magnotorres@×××××.com |
51 |
> <mailto:magnotorres@×××××.com>> wrote: |
52 |
> > No mundo ideal seria ótimo que todos os usuários, a secretária, |
53 |
> o boy, o |
54 |
> > gerente do rh, fazendo um chmod, chown... mas sabemos que |
55 |
> dificilmente algum |
56 |
> > usuário se interessaria por essas ferramentas, na verdade, |
57 |
> muitos admins nem |
58 |
> > se importam de checar as permissões, portanto, um sistema Gentoo |
59 |
> por Default |
60 |
> > é mais inseguro que um RH - lembresse que estou usando a palavra |
61 |
> Default ! É |
62 |
> > muito ruim ter um grupo default pra todos, esse é o ponto! |
63 |
> > Se o cara quiser ver arquivos de outros, basta alguem bobear e |
64 |
> liberar a |
65 |
> > permissão de seu grupo padrão... |
66 |
> > |
67 |
> > Bom, se vc é um excelente admin - e acha q nao precisa ficar |
68 |
> paranoico nao |
69 |
> > deixando usuarios com o mesmo grupo - apenas se for necessário, |
70 |
> criar |
71 |
> > scripts q ficam monitorando isso pode ser uma solução. |
72 |
> > |
73 |
> > Setar cuidadosamente o umask tb, pois qquer deslize, ja tem um |
74 |
> cara no seu |
75 |
> > grupo... que vc nem sequer conhece, mas tudo bem. |
76 |
> > |
77 |
> > Agora o problema maior é a falta de padronização, se eu faço um |
78 |
> script e |
79 |
> > quero deixar ele GPL, não vou poder confiar nesse comando, já |
80 |
> que muda em |
81 |
> > cada plataforma e isso é lamentavel a meu ver, preferia que |
82 |
> todos fossem |
83 |
> > igual ao Gentoo ou RH ou Outra, mas infelizmente ta uma zona :) |
84 |
> > |
85 |
> > Já vi que iniciei uma guerra santa ehheehheeh |
86 |
> > Mas tentem mudar o paradigma e ver que posso estar certo, eu tb |
87 |
> achava |
88 |
> > legal todo mundo no mesmo diretório, agora vejo que isso é ruim |
89 |
> na maioria |
90 |
> > dos casos. Quando usuários precisarem ter o mesmo grupo, ai sim |
91 |
> se adiciona |
92 |
> > um comum e usa o SGID, fica liiiindU! |
93 |
> > |
94 |
> > []s |
95 |
> > |
96 |
> > Em 29/07/05, Murilo Belluzzo <murilo.belluzzo@×××××.com |
97 |
> <mailto:murilo.belluzzo@×××××.com>> escreveu: |
98 |
> > > criar um grupo de cada usuario eh a mesma coisa q não utilizar |
99 |
> grupos |
100 |
> > > .. eh paranoia pura ... mesmo pra um sistema de rh existe a |
101 |
> > > necessidade de mudanças q devem atingir a todos os usuarios |
102 |
> > > independente de grupo ... em um ambiente coorporativo basta |
103 |
> alterar o |
104 |
> > > grupo primario na hora da criação do usuario tornando assim |
105 |
> users um |
106 |
> > > grupo secundario e o home do usuario seria criado sobre o |
107 |
> grupo dele |
108 |
> > > na empresa ... useradd -g grupoespecifico -G users, outros |
109 |
> grupos e a |
110 |
> > > segurança continuaria a mesma do esquema d rh .... assim soh o |
111 |
> usuario |
112 |
> > > e o grupo dele teriam acesso ao home dir .... e no caso da |
113 |
> necessidade |
114 |
> > > de um home completamente fechado basta o adm logo depois do |
115 |
> comando |
116 |
> > > useradd tirar as permissoes tb do grupo de ler e executar files no |
117 |
> > > home do novo usuario ... da pra fazer com script se for o caso dos |
118 |
> > > mais preguiçosos ... alem de que deixar o home aberto apenas |
119 |
> para a |
120 |
> > > entrada permite ao usuario criar subpasta com grupo primario |
121 |
> diferente |
122 |
> > > q podem ser compartilhadas com o grupo sem corromper a |
123 |
> segurança do |
124 |
> > > seu home tornando o uso do home muito mais poderoso e flexivel e |
125 |
> > > ainda sim seguro ... permitindo ao usuario total controle de |
126 |
> quem e |
127 |
> > > onde pode acessar quais e com q nivel os seus arquivos. |
128 |
> > > |
129 |
> > > o q deve mudar não eh o sistema do gentoo em utilizar o grupo |
130 |
> users |
131 |
> > > como padrao e sim os admin que deveriam aprender a utilizar o |
132 |
> useradd |
133 |
> > > corretamente. |
134 |
> > > |
135 |
> > > man useradd e passem a utilizar todos os recursos que ela |
136 |
> > > disponibiliza como forma de melhorar seu sistema e não como |
137 |
> forma d |
138 |
> > > complicar as coisas. Mesmo pq no final das contas o user tera |
139 |
> total |
140 |
> > > controle do seu home e pode mudar tudo q foi feito ... |
141 |
> estimular os |
142 |
> > > usuarios a aprender a utilizar corretamente os comando chown e |
143 |
> chmod |
144 |
> > > pode evitar muitos problemas e melhorar muito a integração entre |
145 |
> > > grupos de trabalhos diferente ao invez de c tornar uma dor d |
146 |
> cabeça pq |
147 |
> > > um user num sabe utiliza-los direito e acaba fodendo com tudo ... |
148 |
> > > |
149 |
> > > On 7/29/05, Magno Torres <magnotorres@×××××.com |
150 |
> <mailto:magnotorres@×××××.com> > wrote: |
151 |
> > > > E na minha opinião, a falta de padronização é a grande |
152 |
> quimera do Linux, |
153 |
> > que |
154 |
> > > > precisa ser debatida sempre. |
155 |
> > > > Sei que não estou sozinho, pois vejo o apoio de todos a |
156 |
> iniciativas de |
157 |
> > > > padronização como a LSB e ao FreeDesktop, acho q deveriamos |
158 |
> ir mais além |
159 |
> > > > ainda. |
160 |
> > > > |
161 |
> > > > Eu fico muito feliz por ver os esforços na compatibilidade |
162 |
> entre KDE e |
163 |
> > > > Gnome graças ao freedesktop, ainda falta muito, mas está indo. |
164 |
> > > > |
165 |
> > > > Eu sempre usei KDE por exemplo - hoje uso xfce e vi q com |
166 |
> GTK da pra |
167 |
> > fazer |
168 |
> > > > algo muito parecido com o que é o KDE hoje, só que muito |
169 |
> mais leve. |
170 |
> > > > Até mesmo acharia legal um dia, ver o KDE usando gtk, seria |
171 |
> ótimo |
172 |
> > > > padronizarmos as bibliotecas no desktop, o sistema ficaria |
173 |
> muito mais |
174 |
> > leve. |
175 |
> > > > O contrario me deixaria contente também, ver o gnome usando |
176 |
> QT, mas acho |
177 |
> > > > muito mais dificil isso acontecer. Infelizmente C++ sempre |
178 |
> será um pouco |
179 |
> > > > mais pesado que C puro... Mas ficaria feliz em ver apenas |
180 |
> uma bilbioteca |
181 |
> > > > gráfica, poderia ter versões lite para mobiles e desktop |
182 |
> > > > |
183 |
> > > > Um dia quem sabe... Infelizmente, temos q conviver hoje com |
184 |
> sobrecarga |
185 |
> > no |
186 |
> > > > carregamento das bibliotecas, fazendo do linux um dos |
187 |
> ambientes mais |
188 |
> > pesados |
189 |
> > > > no desktop. Não da pra considerar o XFCE, Blackbox, etc como |
190 |
> desktops, e |
191 |
> > as |
192 |
> > > > opções KDExGnome exigem hardware parrudo, isso poderia ser bem |
193 |
> > minimizado se |
194 |
> > > > fosse adotado um padrão. O consumo de memória no Desktop |
195 |
> fica alto por |
196 |
> > conta |
197 |
> > > > dessas coisas - E digo, o grande culpado disso tudo é o Ego. |
198 |
> > > > |
199 |
> > > > Por isso lamento que coisas simples como um adduser teimem |
200 |
> em não se |
201 |
> > > > padronizar... |
202 |
> > > > []s |
203 |
> > > > |
204 |
> > > > |
205 |
> > > > Em 29/07/05, Daniel da Veiga < danieldaveiga@×××××.com |
206 |
> <mailto:danieldaveiga@×××××.com>> escreveu: |
207 |
> > > > > Na minha opinião o admin que se apóia em padrões de |
208 |
> distribuição (seja |
209 |
> > > > > qual for, sendo que as necessidades mudam) merece ter |
210 |
> problemas, setar |
211 |
> > > > > a máscara de arquivos não custa nada e evita isso. |
212 |
> > > > > |
213 |
> > > > > E também na minha modesta opinião, um grupo para cada |
214 |
> usuário é uma |
215 |
> > > > > maneira preguiçosa de impor segurança, mas isso é a minha |
216 |
> opinião. |
217 |
> > > > > Além disso, não creio que isso vá mudar (e nem faço |
218 |
> questão), por |
219 |
> > > > > isso, essa discussão é mais uma "flame war" sobre opiniões |
220 |
> > > > > divergentes, sendo assim, virou um debate sem muita |
221 |
> utilidade, onde |
222 |
> > > > > fecho minha contribuição. |
223 |
> > > > > |
224 |
> > > > > -- |
225 |
> > > > > Daniel da Veiga |
226 |
> > > > > Computer Operator - RS - Brazil |
227 |
> > > > > -----BEGIN GEEK CODE BLOCK----- |
228 |
> > > > > Version: 3.1 |
229 |
> > > > > GCM/IT/P/O d-? s:- a? C++$ UBLA++ P+ L++ E--- W+++$ N o+ |
230 |
> K- w O M- V- |
231 |
> > > > > PS PE Y PGP- t+ 5 X+++ R+* tv b+ DI+++ D+ G+ e h+ r+ y++ |
232 |
> > > > > ------END GEEK CODE BLOCK------ |
233 |
> > > > > |
234 |
> > > > > "Build a system that even an idiot can use and only an |
235 |
> idiot will use |
236 |
> > it" |
237 |
> > > > > |
238 |
> > > > > -- |
239 |
> > > > > gentoo-user-br@g.o |
240 |
> <mailto:gentoo-user-br@g.o> mailing list |
241 |
> > > > > |
242 |
> > > > > |
243 |
> > > > |
244 |
> > > > |
245 |
> > > > |
246 |
> > > > -- |
247 |
> > > > |
248 |
> > > > []s Magno |
249 |
> > > > Linux user: #123834 |
250 |
> > > > http://counter.li.org |
251 |
> > > > |
252 |
> > > |
253 |
> > > |
254 |
> > > -- |
255 |
> > > |
256 |
> > |
257 |
> ------------------------------------------------------------------------------------ |
258 |
> |
259 |
> > > Murilo Pinoti Belluzzo |
260 |
> > > Engenharia de Computação - UNICAMP |
261 |
> > > Campinas, SP |
262 |
> > > |
263 |
> > |
264 |
> ------------------------------------------------------------------------------------ |
265 |
> > > |
266 |
> > > -- |
267 |
> > > gentoo-user-br@g.o <mailto:gentoo-user-br@g.o> |
268 |
> mailing list |
269 |
> > > |
270 |
> > > |
271 |
> > |
272 |
> > |
273 |
> > |
274 |
> > -- |
275 |
> > []s Magno |
276 |
> > Linux user: #123834 |
277 |
> > http://counter.li.org |
278 |
> > |
279 |
> |
280 |
> |
281 |
> -- |
282 |
> Daniel da Veiga |
283 |
> Computer Operator - RS - Brazil |
284 |
> -----BEGIN GEEK CODE BLOCK----- |
285 |
> Version: 3.1 |
286 |
> GCM/IT/P/O d-? s:- a? C++$ UBLA++ P+ L++ E--- W+++$ N o+ K- w O M- V- |
287 |
> PS PE Y PGP- t+ 5 X+++ R+* tv b+ DI+++ D+ G+ e h+ r+ y++ |
288 |
> ------END GEEK CODE BLOCK------ |
289 |
> |
290 |
> -- |
291 |
> gentoo-user-br@g.o <mailto:gentoo-user-br@g.o> |
292 |
> mailing list |
293 |
> |
294 |
> |
295 |
> |
296 |
> |
297 |
> -- |
298 |
> []s Magno |
299 |
> Linux user: #123834 |
300 |
> http://counter.li.org |
301 |
|
302 |
|
303 |
-- |
304 |
gentoo-user-br@g.o mailing list |