NSS — интересный модуль, позволяющий добавлять группы в группы

>>Что-то не видно в современных дистрибутивах отдельных групп на _каждый_ ресурс. Наверно потому, что уж очень дохренищща получается, администрировать неудобно.

Не знаю чем вы пользуетесь. Мой современный дистрибутив линукса создает группу/юзера для каждого сервиса. Забыли еще ->уровень доступа. А дохренищща - оно не страшно под линем, инструментов валом. Зато прямой путь от уровня доступа к ресурсу и далее к списку врагов в этом случае обеспечен. Отъем прав опять жеж проще. Контроль одним словом.

>>С точностью до наоборот, правда не по дефолту. Больше возможностей может быть хуже только в кривых уках.

В случае администрирования нт говорить о кривых руках не пристало. Ибо любой кривизны рук хватит чтоб по кнопке мышею попасть. Как вам задачка, к примеру, сменить маску подсети в вендовом дхцпсервере? А где настраивается и как ставится родной тфтп у венды не припомните? А что насчет переноса списка юзеров со всеми правами на новый сервак c одновременной сменой домена? Про икспи вообще будем помолчать. Не спорю, все можно порешать. И сайтик со скриптами полезными езь (и не токмо полезными кстати, ибо неофициалка). Но вот методы попахивают гинекологией и напоминают демонтаж поршня через выхлопную трубу.

Полезное новшество, однозначно..

Еле пишу, все под стол сползаю... Ну не могу, смешно очень это новшевстово, которое в винде уже тысячу лет как работает, а в линухе только сейчас додумались.

> Еле пишу, все под стол сползаю...

Сполз? Теперь сиди там и сюда больше не пиши.

> Ну не могу, смешно очень это новшевстово,

http://slovari.yandex.ru/search.xml?text=%D0%BD%D0%BE%D0%B2%D1%88%D0%B5%D0%B2...

> которое в винде уже тысячу лет как работает,

1000 лет? чёрт побери, ну и старье...

> а в линухе только сейчас додумались.

Когда понадобилось кому-то, тогда и додумались. Лично я за десяток лет администрирования linux-систем пока что не увидел надобности в этом модуле.

И совершенно напрасно вы к этому так относитесь.. Это просто воплощение одного из способов, не обязательное и не критичное.. Так, в качестве дополнения и альтернативы.. Однако, в случае винды иной альтернативы просто не существует.. Убогая винда, да, в этом всё дело..

НАПИШИТЕ КТО-НИБУДЬ САТЬЮ ПРО TRUЪ-АДМИНИСТРИРОВАНИЕ, А ТО ВСЕ ТРЕП И ТРЕП ОДИН, А ЧАЙНИКИ УМИРАЮТ ОТ КРИЗИСА

http://img222.imageshack.us/img222/638/1221107018553bj4.jpg

оооо ... линуксоиды иосили то, что в винде было уже черти когда ... молодцы. так скоро догоните винду 98 года.

Не вижу новости, ИМХО

> http://img222.imageshack.us/img222/638/1221107018553bj4.jpg

Упал :))

Новость хорошая, модуль кажется полезным.

> SElinux не в состоянии разрешить то, что запрещено стандартным posix слоем. В общем - не в тему.

Древний убожеский posix, который не позволяет вкладывать группы в группы не нужен. В труевой не-posix-ной винде это реализовано уже около сотни лет.

> Мдаа .... а ведь больше __12__ лет орали что виндовые вложенные группы - суксЪ(С) :)

У фанатиков всегда так: того чего нет - не нужно, а когда это что-то появляется, то вызывает неописуемое ликование от того, что наконец-то появилось.

>В Линуксе много чего нужного и удобного до сих пор нет. Например дефрагметатора.

а также вирусни и спайвари столь милых сердцу истых вантузоидов

Сделаем из линукса лучший виндовз, чем сам виндовз!

>Эй линуксовые - а ну марш на MS сайт учиться зачем оно и как применять :-)))))

зачем? этож на лор ходят вантузятники чтобы их "учили"

> Лично я за десяток лет администрирования linux-систем пока что не увидел надобности в этом модуле.

А надобности хотя бы в posix acl увидел или только опаче одминишь?

> зачем? этож на лор ходят вантузятники чтобы их "учили"

Ты вообще молчи, быдло красноглазое. Иди гентуу дальше компиль и дальше ходи с транспарантом BSD RIP.

> Сделаем из линукса лучший виндовз, чем сам виндовз!

Догоноим и перегоним страны загнивающего проплиентарного капитализьма!

> а также вирусни и спайвари столь милых сердцу истых вантузоидов

Червь Морриса, SSL червь, PHP-черви, SSH-черви, "спайварь" в sendmail, firefox, пакетах openssh взломаного редхейта? :))))

И всё это против десятка новых вирусов ежедневно в оффтопике.

>> Скоро еще и до использования LDAP для хранения пользователей в серверных дистрах дело дойдет :)

> Я уже перестал это делать, а вы ещё только мечтаете %)

Ага, даже features на эту тему пишу. Пока продвигается постепенно.

> А надобности хотя бы в posix acl увидел или только опаче одминишь?

Увидел, увидел. Не волнуйся так сильно. "Одминю", в числе прочего, домен на самбе, т.ч. без acl никуда.

>>Червь Морриса, SSL червь, PHP-черви, SSH-черви, "спайварь" в sendmail, firefox, пакетах openssh взломаного редхейта? :))))

Иоп. Это было названо дырой и залито бетоном на веки вечные. А теперь открой базу сигнатур "вредоносного по", того же дрвебк, к примеру. Количество зашкалило за поллимона и каждый год увеличивается вполовину. MS наплевать на лохов,что платят им нехилые бабки за тру ось. Туд дыру не заливают. Тут надо платить дополнительных бабок за защиту. Пахнет все это лихими девяностыми. Тока вместо спортсменов в адидасе с кастетами очкастый студентег.

ЗЫ acl у меня настроен только на очень извратные ресурсы. Все остальное отруливается через юзер/груп/озер. Да и под вендой вложенных групп не создаю, ибо зло. ИМХО модуль наконецт-то написали пеарщики, чтобы сказать "оно и у нас теперь езь". Этож опенсурс. Все крайне необходимое давно написано.

"Just for fun" = "По приколу"

Настоящий linux-way:

"Всё, что кому-то нужно - реализуемо..."

На мой взгляд - забавная возможность вкладывать группы в группы.

Вот только мне лично представляется некоторым "излишним кружевом", ибо для добавляет дополнительные сущности при администрировании, которые могут привести к новым коллизиям.

Уж проще хорошенько продумать схему и создать понятные и логичные шаблоны.

>В Линуксе много чего нужного и удобного до сих пор нет. Например дефрагметатора.

Не переживай так :)

http://vleu.net/shake/

Тогда уж надо пилить открытый аналог eDirectory. На основе него сетью рулить милое дело.

Создали? Создали.
Ну и пусть будет. А мы уж как-нибудь по старинке, на posix'ах...

>Лично я за десяток лет администрирования linux-систем пока что не увидел надобности в этом модуле. А я за значительно большее количество лет не увидел необходимости сливать за собой в сортире. Из должно следовать что я не должен или не могу этого сделать? Или никому это не надо?

Это твоё личное дело, целевая аудитория вопроса - ты сам.

А моё дело (работа) - обеспечить пользователям рабочую среду, которую они получают БЕЗ этого модуля, т.к. он не являлся и не является необходимым.

В рот мне ноги! Кто переименовал?!
Переименователь хотя бы знает что такое NSS?

> В труевой не-posix-ной винде это реализовано уже около сотни лет.

Откройте для себя SUA - реализацию POSIX для Windows. Хотя, таки да, эта подсистема - ещё не вся винда.

> Иоп. Это было названо дырой и залито бетоном на веки вечные.

Напомнить как давно поломали самого великого и ужасного RedHat и засунули в opensshd трояны?

> А теперь открой базу сигнатур "вредоносного по", того же дрвебк, к примеру.

Процент *nix-like на лесктопах колеблется по разным данным от долей процента до процента. linux на раб. столе пользуются в основном гики, а не чайники, которые запускают всё подряд. ядерный API постоянно ломают - стабильный ядерный руткит не сделать, стандартизаяция платформы под LSB не завершена, пока бардак, а значит надёжно работающий на зоопарке линуксов вирус не сделать. Да еще из-за глючного линукса вирьмейкерам приходится просить Торвальдса пропатчить ядро, чтобы вирусы вроде Virus.Linux.Bi.a/ Virus.Win32.Bi.a не падали бугагаг. Зачем вирьмейкерам ради сомнительной затеи завирусовать линукс-гиков такой гиморрой?

> MS наплевать на лохов,что платят им нехилые бабки за тру ось. Туд дыру не заливают.

Основные дыры - в башках этих самых лохов, коотрые запускают всё подряд и не обновляются.

> Тут надо платить дополнительных бабок за защиту.

Кто мешает тов. виндузятникам поставить бесплатный awz или clamav? Неужели за включенный по умолчаниию файрвол или за DEP вынуждают платить дополнительные бабки?

> Да и под вендой вложенных групп не создаю, ибо зло.

Бред. Как сделать всех юзеров группы users(или LDAP-ской группы ntusers) членами локальной групп audio и video без вложенных групп? Перечислить каждого юзера группы users в мемберах audio? Прикрутить костыль к PAM? Пускать скриптик, который будет синхронизировать users/ntusers и audio? Вот это и есть дебилmное решение из-за того, что древний как дерьмо мамонтов POSIX не поддерживает вложенных групп. А еще он не поддерживает Unicode в login/password(чтобы можно было использовать имена,фамилии и пароли на великом могучем, что более удобно для юзера), нормальные ACL с наследованием прав и делегированием.

>А еще он не поддерживает Unicode в login/password(чтобы можно было использовать имена,фамилии и пароли на великом могучем, что более удобно для юзера), нормальные ACL с наследованием прав и делегированием.

А вот этого не надо.... Потому тебя появится в начальниках 2 суньхуньчая китайских и будешь ты наблюдать 中國 и 中国 и искать в них различия.... Это как 1С с его сраным русским

> Тогда уж надо пилить открытый аналог eDirectory. На основе него сетью рулить милое дело.

Разве Red Hat Directory не открыт? Уже пилят, только пока не видел и не знаю, способен ли он заменить eDirectory и насколько легок будет переход.

> Процент *nix-like на лесктопах колеблется по разным данным от долей процента до процента. linux на раб. столе пользуются в основном гики

При этом энтерпрайзные лэптопы сертифицируют для SLED. Видимо в "конторках побольше" одни гики работают.

>Бред. Как сделать всех юзеров группы users(или LDAP-ской группы ntusers) членами локальной групп audio и video без вложенных групп? Перечислить каждого юзера группы users в мемберах audio?

хехе, вложенные группы решают только узкий круг задач, вот вам задачка: Как сделать всех юзеров группы users(или LDAP-ской группы ntusers) кроме Васи Пупкина членами локальной групп audio и video используя только вложенные группы?

может вложенне группы в какой-то степени облегчают _заведение_ пользователей, но они 100% усложняют сопровождение системы и аудит.

>Пускать скриптик, который будет синхронизировать users/ntusers и audio? Вот это и есть дебилmное решение из-за того, что древний как дерьмо мамонтов POSIX не поддерживает вложенных групп

скрипт писать не правильно, а вот систему, которая умеет аггрегировать функциональные роли (группы) в бизнес-роли иметь было бы неплохо.

>Напомнить как давно поломали самого великого и ужасного RedHat и засунули в opensshd трояны?

4.2

>Процент *nix-like на лесктопах колеблется по разным данным от долей процента до процента.

4.2

>Основные дыры - в башках этих самых лохов, коотрые запускают всё подряд и не обновляются.

4.2

>Кто мешает тов. виндузятникам поставить бесплатный awz или clamav?

Где в дистрибутиве виндовз эти бесплатные awz или clamav?

> Например дефрагметатора.

xfs_fsr для xfs и всякие скрипты для остальных ФС

>Как сделать всех юзеров группы users(или LDAP-ской группы ntusers) кроме Васи Пупкина членами локальной групп audio и video используя только вложенные группы?

Возможно, наиболее правильным будет вывести Васю из группы users и ввести в специально созданную "mudaki".

>> Тогда уж надо пилить открытый аналог eDirectory. На основе него сетью рулить милое дело.

> Разве Red Hat Directory не открыт? Уже пилят, только пока не видел и не знаю, способен ли он заменить eDirectory и насколько легок будет переход.

RHD это только LDAP server, а не инфраструктура. потому может быть OpenLDAP, но решить проблему которую решает eDirectory

> А вот этого не надо.... Потому тебя появится в начальниках 2 суньхуньчая китайских и будешь ты наблюдать 中國 и 中国 и искать в них различия....

А это уже есть - пользователи "Администратор", "Марьиванна", пароли на русском, кстати более стойкие, потому что используется расширенный набор символов и мало какой автоматизированный брютфорсер сможет подобрать такие пароли, доменные имена "президент.ru","вологда.com", домен первого уровня .рф... В глазах пользователя система, которая изъясняется на каком-то тарабарском языке, отсылает решать вопросы в нелокализованные маны, не позволяющая использовать родной алфавит в паролях, логинах и gecos, ущербна.

> Это как 1С с его сраным русским

Админы и программисты это особая каста колдунов, которая при рулении цисками и кодинге программ может пользоваться хоть китайским, если им это удобно.

> При этом энтерпрайзные лэптопы сертифицируют для SLED. Видимо в "конторках побольше" одни гики работают.

Сертифицировать могут под что угодно, все равно на лаптопах стоит винда кроме особо маргинальных с FreeDOS.

Некоторые задачи упрощает, зато появляется огромный геморрой по администрированию этого инструмента.

Ну надо думать как и где применять каждый инструмент. В этом и состоит работа сисадмина. Это у вендузятников модно использовать один инструмент во всех случаях.

>>Напомнить как давно поломали самого великого и ужасного RedHat и засунули в opensshd трояны?

>4.2

http://www.securitylab.ru/vulnerability/358384.php

>>Процент *nix-like на лесктопах колеблется по разным данным от долей процента до процента.

>4.2

http://www.liveinternet.ru/stat/ru/oses.html?period=month http://www.liveinternet.ru/stat/ru/oses.html?slice=yandex;period=month http://www.liveinternet.ru/stat/ru/oses.html?slice=Google;period=month http://globalstats.hotlog.ru/ http://www.artlebedev.ru/tools/browsers/

>>Основные дыры - в башках этих самых лохов, коотрые запускают всё подряд и не обновляются.

>4.2

man социальный инжиниринг, man фишинг-сайты, man фальшивые антивирусы, google история масштабных эпидемий червей, использующих уязвимости закрытые мелкософтом за месяц и больше до этих событий. Если бы большая часть линуксоидов была бы технически малограмотной(с уязвимостями в башке) и не обновляла бы своё "мегабезопасное" открытое ПО, то их бы до сих пор драли бы в дырявые openssl, samba, sendmail, openssh, dhcpd, cvsd, phpBB и рутали бы через дырявые ptrace(),mmap(),prctl() и vmsplice().

>>Кто мешает тов. виндузятникам поставить бесплатный awz или clamav?

>Где в дистрибутиве виндовз эти бесплатные awz или clamav?

Да иди ты со своей тупой красноглазой отмазкой. Где в дистрибутиве линукс с kernel.org апач и гном? Раз их там нет, то по твоей быдло-логике, их не существует либо они платные. Если включить режим торллинга, то можно было заявить:

Люди, как компьютеры, страдают от вирусов ОРЗ, грипа и т.д. Не болеют разве что камни. Кто хочет сменить уязвимый дизайн и стать неузвимым для вирусов камнем?

Вирусы - мерило популярности, чем их больше - тем популярнее платформа, что отлично кореллирует с полученной статистикой по браузерам.

Виндоус - система для профессионалов, знающих как защитить свой компьютер и откуда установить AVZ или clamav, в отличие от линукса, рассчитанного на чайников, которые умеют только тыкать на кнопки в менеджере пакетов и не имеющих представления ни о чем за пределами очень ограниченного репозитария.

> Это у вендузятников модно использовать один инструмент во всех случаях.

А у ленупзятнеков модно использовать глюченнный, кривущий, зато свой индивидуальный лисапед с квадратными колесами и управлением, которое можно освоить потратив неделю чтения манов, но без обработки напильником он всё равно не поедет. Ибо это труЪ, а работа из коробки, совместимость и стандарты это харамЪ - могут назвать быдлом, виндузятником-вероотступником и отлучить от церкви RMS.

>>Как сделать всех юзеров группы users(или LDAP-ской группы ntusers) кроме Васи Пупкина членами локальной групп audio и video используя только вложенные группы?

>Возможно, наиболее правильным будет вывести Васю из группы users и ввести в специально созданную "mudaki".

Задача не выполнена. Отмазка не принимается. Садись, два.

>Люди, как компьютеры, страдают от вирусов ОРЗ, грипа и т.д. Не болеют разве что камни. Кто хочет сменить уязвимый дизайн и стать неузвимым для вирусов камнем?

>Вирусы - мерило популярности, чем их больше - тем популярнее платформа, что отлично кореллирует с полученной статистикой по браузерам.

Бурный слив засчитан.

Ежу понятно что вложенные группы не решают всех проблем. Но таки решение многих - упрощают.

Линуксоиды же которые стонут что это ппц как сложно - да просто салаги :) В Unix'ах такой же механизм испокон веков есть и работает славно - смотрите в /etc/aliases или где он там у вас :) Оно для почты конечно, но что то я не вижу умерших от администрирования этого чуда админов.

POSIX ACL - по фичам сливает виндовому. Факт. Но красноглазые не должны плакать - уже есть ответ в виде NFS4+ ACL - вот оно реально круто и "по-уму" :)

А салагам хоть вложенные группы, хоть Ъ хрустальный дай - результат известен :) Ну да ничего, научаться(С)


GR.