Użytkownik Konrad Kosmowski napisał:
>
>>> Tylko dlaczego Mozilla FireFox nie ma automatycznej aktualizacji
>
>> Uzytkownik jest od uzywania programow, a nie ich instalowania. Juz
>> widze wielka radosc adminow, ze kazdy user moze zainstalowac cos na
>> stacji roboczej bez wiedzy admina.
>
>
> Tak samo jak może zapisać plik do katalogu domowego. :) W ogóle IMHO źle
> podchodzisz do sprawy bo rzecz w tym wypadku nie rozbija się o to co
> user może zainstalować, tylko o to co może uruchomić.
Jedno i drugie jest wazne. Przy zainstalowanych programach mamy
mozliwosc ustawien dostepu, przy tym co zainstaluje user juz nie. Poza
tym jesli user cos zainstaluje i to uruchomi ktos inny? Np keylogger.
>
> Bo jakoś średnio sobie wyobrażam (pomimo całego zacietrzewienia
> płynącego z tonu Twojej wypowiedzi) *jak* chcesz zabronić użytkownikowi
> zapisywania plików (tym jest w istocie instalacja) w miejsca gdzie może
> pisać (np. jego profil).
Montowanie partycji z noexec.
>
> Bardziej szedł bym w kierunku zakazania wykonywania programów z tych
> miejsc, wtedy problem instalacji jakby odpada...
>
>> Teraz trzeba wymyslec jeszcze automatyczne blokowanie automatycznego
>> update.
>
>
> Żaden problem w sumie. Właściwie to co chcesz blokować? Bo chyba user
> nie może u Ciebie pisać po Program Files?
A po co user ma pisac do katalogu systemowego. Ma swoj katalog i tam
niech szaleje.
>> Jako admin chce wiedziec co sie instaluje i sam podejmuje decyzje czy
>> chce
>
> > to czy nie.
>
> A jak user na pulpit sobie wypakuje Gadu-Gadu i je uruchomi to jest to
> instalacja i czy będziesz o tym wiedział? :)))
Niech sobie pakuje, jesli mozna uruchomic tylko z wybranych katalogow,
to moze sobie nagrac co chce.
>
> (Ciach - jakieś banały o adminowaniu z hasłami "produkcyjna maszyna" itp.)
>
>> Na *nices nie ma jakos z tym problemu, loguje sie jako root, instaluje
>> potrzebny soft, potem wylogowanie i korzystam. To jest sensowne
>> rozdzielenie praw.
>
> Przecież user nadal może sobie zrobić:
>
> ./configure --prefix $HOME/mysoft; make; make install
>
I co to mu da? home montowany jest z noexec.
> Albo ściągnąć binarkę i zostawić w katalogu domowym.
>
> > grozny mechanizm, gdy cos sie dzieje bez wiedzy administratora.
>
> E tam. Rolą administratora jest automatyzować wszystko co się da. Trochę
> bredzisz. Naprawdę to wygląda to tak, że admin popycha poprawkę, a
> stacje robocze ją sobie *automagicznie* (tak - łojezu, koniec świata)
> aplikują i tyle. Nie ma w tym nic niebezpiecznego to normalna praktyka.
>
Rola administratora jest wiedziec co sie dzieje na maszynie i odpowiadac
za zainstalowany na niej soft. Jak maszyna pojdzie w krzaki to odpowiada
za to admin, nie user.
wer
Received on Sun Feb 5 23:05:07 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sun 05 Feb 2006 - 23:42:00 MET