Eu tb acho o sistema padrão de permissões insuficientes, e como disse o
Magno, ainda bem que existem as ACLS. Com certeza elas dão muito mais
flexibilidade ao administrador.
[ ]s
Rodolfo Penha
Magno Torres wrote:
> Cada um deles terá que ter um grupo diferente, certo?
> Se todos tem o user, fica uma brecha, todo arquivo q o usuário criar
> terá esse grupo.
> Nunca falei que nao era pra ter outros grupos, só to dizendo que é
> melhor o grupo primário ser único - na maioria das vezes. Se vc quiser
> um grupo de secretarias, crie um grupo pra elas e pronto, coloque elas
> la, nao tem pq o arquivo dela ter um grupo primario igual ao do office
> boy.
>
> Pro caso corporativo, todos nós temos que dar o braço a torcer, posi
> as permissões do unix são insuficientes... não posso ter um grupo de
> usuarios dentro de um grupo... Mas ainda bem que fizeram as acls pra
> esses casoss ;)
>
>
> Em 30/07/05, *Daniel da Veiga* <danieldaveiga@...
> <mailto:danieldaveiga@...>> escreveu:
>
> Infelizmente sou obrigado a (denovo) discordar... Vamos ver, por
> exemplo, uma universidade, cada usuário pertence a um grupo (ano de
> ingresso) e pode compartilhar diretórios, trabalhos, scripts com
> pessoas do mesmo grupo. Agora vejamos um colégio... Documentos da
> secretaria podem ficar disponíveis para o Recursos Humanos. Onde eu
> trabalho, sentenças de gabinete precisam ficar disponíveis para a
> secretaria (leitura). Resumindo, esse negócio de um grupo para cada
> usuário ao meu ver, só em máquinas single user, hehehe, pois em
> qualquer ambiente corporativo isso acarretaria não ter grupos...
> (imagina a zona setar grupos secundários para cada criatura num
> sistema de mais de 200 usuários).
>
> Além disso, SIM, o sysadmin deve criar ferramentas para ver se o
> babaca não deu um 777 recursivo no seu home. Se for o caso,
> desabilitar o chmod e chown, se for o caso, educar as pessoas para
> usarem, tem várias opções. O default do RH prá mim não serve, torna o
> trabalho de manutenção de usuários inseguro e "preguiçoso". Tu
> mencionaste algo sobre o cara usar errado as permissões de grupo, mas
> e quanto as permissões de "others"??? Se o cara for fazer merda, ele
> acha como, não importa se faz parte do grupo individual dele...
>
> On 7/29/05, Magno Torres <magnotorres@...
> <mailto:magnotorres@...>> wrote:
> > No mundo ideal seria ótimo que todos os usuários, a secretária,
> o boy, o
> > gerente do rh, fazendo um chmod, chown... mas sabemos que
> dificilmente algum
> > usuário se interessaria por essas ferramentas, na verdade,
> muitos admins nem
> > se importam de checar as permissões, portanto, um sistema Gentoo
> por Default
> > é mais inseguro que um RH - lembresse que estou usando a palavra
> Default ! É
> > muito ruim ter um grupo default pra todos, esse é o ponto!
> > Se o cara quiser ver arquivos de outros, basta alguem bobear e
> liberar a
> > permissão de seu grupo padrão...
> >
> > Bom, se vc é um excelente admin - e acha q nao precisa ficar
> paranoico nao
> > deixando usuarios com o mesmo grupo - apenas se for necessário,
> criar
> > scripts q ficam monitorando isso pode ser uma solução.
> >
> > Setar cuidadosamente o umask tb, pois qquer deslize, ja tem um
> cara no seu
> > grupo... que vc nem sequer conhece, mas tudo bem.
> >
> > Agora o problema maior é a falta de padronização, se eu faço um
> script e
> > quero deixar ele GPL, não vou poder confiar nesse comando, já
> que muda em
> > cada plataforma e isso é lamentavel a meu ver, preferia que
> todos fossem
> > igual ao Gentoo ou RH ou Outra, mas infelizmente ta uma zona :)
> >
> > Já vi que iniciei uma guerra santa ehheehheeh
> > Mas tentem mudar o paradigma e ver que posso estar certo, eu tb
> achava
> > legal todo mundo no mesmo diretório, agora vejo que isso é ruim
> na maioria
> > dos casos. Quando usuários precisarem ter o mesmo grupo, ai sim
> se adiciona
> > um comum e usa o SGID, fica liiiindU!
> >
> > []s
> >
> > Em 29/07/05, Murilo Belluzzo <murilo.belluzzo@...
> <mailto:murilo.belluzzo@...>> escreveu:
> > > criar um grupo de cada usuario eh a mesma coisa q não utilizar
> grupos
> > > .. eh paranoia pura ... mesmo pra um sistema de rh existe a
> > > necessidade de mudanças q devem atingir a todos os usuarios
> > > independente de grupo ... em um ambiente coorporativo basta
> alterar o
> > > grupo primario na hora da criação do usuario tornando assim
> users um
> > > grupo secundario e o home do usuario seria criado sobre o
> grupo dele
> > > na empresa ... useradd -g grupoespecifico -G users, outros
> grupos e a
> > > segurança continuaria a mesma do esquema d rh .... assim soh o
> usuario
> > > e o grupo dele teriam acesso ao home dir .... e no caso da
> necessidade
> > > de um home completamente fechado basta o adm logo depois do
> comando
> > > useradd tirar as permissoes tb do grupo de ler e executar files no
> > > home do novo usuario ... da pra fazer com script se for o caso dos
> > > mais preguiçosos ... alem de que deixar o home aberto apenas
> para a
> > > entrada permite ao usuario criar subpasta com grupo primario
> diferente
> > > q podem ser compartilhadas com o grupo sem corromper a
> segurança do
> > > seu home tornando o uso do home muito mais poderoso e flexivel e
> > > ainda sim seguro ... permitindo ao usuario total controle de
> quem e
> > > onde pode acessar quais e com q nivel os seus arquivos.
> > >
> > > o q deve mudar não eh o sistema do gentoo em utilizar o grupo
> users
> > > como padrao e sim os admin que deveriam aprender a utilizar o
> useradd
> > > corretamente.
> > >
> > > man useradd e passem a utilizar todos os recursos que ela
> > > disponibiliza como forma de melhorar seu sistema e não como
> forma d
> > > complicar as coisas. Mesmo pq no final das contas o user tera
> total
> > > controle do seu home e pode mudar tudo q foi feito ...
> estimular os
> > > usuarios a aprender a utilizar corretamente os comando chown e
> chmod
> > > pode evitar muitos problemas e melhorar muito a integração entre
> > > grupos de trabalhos diferente ao invez de c tornar uma dor d
> cabeça pq
> > > um user num sabe utiliza-los direito e acaba fodendo com tudo ...
> > >
> > > On 7/29/05, Magno Torres <magnotorres@...
> <mailto:magnotorres@...> > wrote:
> > > > E na minha opinião, a falta de padronização é a grande
> quimera do Linux,
> > que
> > > > precisa ser debatida sempre.
> > > > Sei que não estou sozinho, pois vejo o apoio de todos a
> iniciativas de
> > > > padronização como a LSB e ao FreeDesktop, acho q deveriamos
> ir mais além
> > > > ainda.
> > > >
> > > > Eu fico muito feliz por ver os esforços na compatibilidade
> entre KDE e
> > > > Gnome graças ao freedesktop, ainda falta muito, mas está indo.
> > > >
> > > > Eu sempre usei KDE por exemplo - hoje uso xfce e vi q com
> GTK da pra
> > fazer
> > > > algo muito parecido com o que é o KDE hoje, só que muito
> mais leve.
> > > > Até mesmo acharia legal um dia, ver o KDE usando gtk, seria
> ótimo
> > > > padronizarmos as bibliotecas no desktop, o sistema ficaria
> muito mais
> > leve.
> > > > O contrario me deixaria contente também, ver o gnome usando
> QT, mas acho
> > > > muito mais dificil isso acontecer. Infelizmente C++ sempre
> será um pouco
> > > > mais pesado que C puro... Mas ficaria feliz em ver apenas
> uma bilbioteca
> > > > gráfica, poderia ter versões lite para mobiles e desktop
> > > >
> > > > Um dia quem sabe... Infelizmente, temos q conviver hoje com
> sobrecarga
> > no
> > > > carregamento das bibliotecas, fazendo do linux um dos
> ambientes mais
> > pesados
> > > > no desktop. Não da pra considerar o XFCE, Blackbox, etc como
> desktops, e
> > as
> > > > opções KDExGnome exigem hardware parrudo, isso poderia ser bem
> > minimizado se
> > > > fosse adotado um padrão. O consumo de memória no Desktop
> fica alto por
> > conta
> > > > dessas coisas - E digo, o grande culpado disso tudo é o Ego.
> > > >
> > > > Por isso lamento que coisas simples como um adduser teimem
> em não se
> > > > padronizar...
> > > > []s
> > > >
> > > >
> > > > Em 29/07/05, Daniel da Veiga < danieldaveiga@...
> <mailto:danieldaveiga@...>> escreveu:
> > > > > Na minha opinião o admin que se apóia em padrões de
> distribuição (seja
> > > > > qual for, sendo que as necessidades mudam) merece ter
> problemas, setar
> > > > > a máscara de arquivos não custa nada e evita isso.
> > > > >
> > > > > E também na minha modesta opinião, um grupo para cada
> usuário é uma
> > > > > maneira preguiçosa de impor segurança, mas isso é a minha
> opinião.
> > > > > Além disso, não creio que isso vá mudar (e nem faço
> questão), por
> > > > > isso, essa discussão é mais uma "flame war" sobre opiniões
> > > > > divergentes, sendo assim, virou um debate sem muita
> utilidade, onde
> > > > > fecho minha contribuição.
> > > > >
> > > > > --
> > > > > Daniel da Veiga
> > > > > Computer Operator - RS - Brazil
> > > > > -----BEGIN GEEK CODE BLOCK-----
> > > > > Version: 3.1
> > > > > GCM/IT/P/O d-? s:- a? C++$ UBLA++ P+ L++ E--- W+++$ N o+
> K- w O M- V-
> > > > > PS PE Y PGP- t+ 5 X+++ R+* tv b+ DI+++ D+ G+ e h+ r+ y++
> > > > > ------END GEEK CODE BLOCK------
> > > > >
> > > > > "Build a system that even an idiot can use and only an
> idiot will use
> > it"
> > > > >
> > > > > --
> > > > > gentoo-user-br@g.o
> <mailto:gentoo-user-br@g.o> mailing list
> > > > >
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > >
> > > > []s Magno
> > > > Linux user: #123834
> > > > http://counter.li.org
> > > >
> > >
> > >
> > > --
> > >
> >
> ------------------------------------------------------------------------------------
>
> > > Murilo Pinoti Belluzzo
> > > Engenharia de Computação - UNICAMP
> > > Campinas, SP
> > >
> >
> ------------------------------------------------------------------------------------
> > >
> > > --
> > > gentoo-user-br@g.o <mailto:gentoo-user-br@g.o>
> mailing list
> > >
> > >
> >
> >
> >
> > --
> > []s Magno
> > Linux user: #123834
> > http://counter.li.org
> >
>
>
> --
> Daniel da Veiga
> Computer Operator - RS - Brazil
> -----BEGIN GEEK CODE BLOCK-----
> Version: 3.1
> GCM/IT/P/O d-? s:- a? C++$ UBLA++ P+ L++ E--- W+++$ N o+ K- w O M- V-
> PS PE Y PGP- t+ 5 X+++ R+* tv b+ DI+++ D+ G+ e h+ r+ y++
> ------END GEEK CODE BLOCK------
>
> --
> gentoo-user-br@g.o <mailto:gentoo-user-br@g.o>
> mailing list
>
>
>
>
> --
> []s Magno
> Linux user: #123834
> http://counter.li.org
--
gentoo-user-br@g.o mailing list
|
