Microsoft: Linux не угроза Windows на рабочем столе

> А зачем? Ведь софт MS хорош в связке, только что говорилось о интеграции и т.п. Всё, что делает винда за 65 баксов можно сделать и без неё.

Когда за софт приходится платить приличную сумму то приходится выбирать... MS хорош не только интеграцией, а наличием огромной базы широко используемого софта и мощной поддержкой производителями железа. Кому может взбрести в голову перевести сметчиков, работающих, например, в "Грандсмета"(она кстати к HASP-у вяжется, так что под вайн работать не будет), которая в 2.5 раза дороже прошки или в восемь раз дороже хомки, на альтернативную ОС и искать алтернативу которая актуальна для данного региона, с постоянной поддержкой, или инженеров, работающих в "Автокад" или в "Компас", которые без плагинов стоят несколько тысяч долларов и тоже вяжутся к аппаратной затычке(так что вайн отдыхает), да даже банальная 1С вяжется к затычке и стоит дороже, чем винда, и не альтернативы ни актуальности под законодательство РФ ни такой же поддержки франчайзерами нет... А с игрущками что... что проще юзеру - маяться с цедегой, вайном и, если видяха не от нвидии еще и с дровами, или поставить пераццкую винду или хомку за какие-то полторы тыщи, которые уже давно предустанавливают на ноуты и писюки...

Ну вот и ладненько, сидите себе на игле, платите бабло и забудьте о свободе. Я понимаю, ещё, когда используют такое ПО от отсуствия выбора. Но когда его используют просто потому что так делают все - ужас. Делать проприетарщиков сильнее - рыть себе же могилу imho.

>Ну и в каком месте сейчас Apple? А винда вон она, повсюду торчит на десктопах, можешь интереса ради посмотреть на экраны мониторов, когда у кого-нибудь берут интервью или при посещении банка/магазина/отдела по работе с клиентами ISP или хостера/бухгалтерии/кабинета директора какого-нибудь КБ, завода или иного предприятия и т.д.

У тебя мир заканчивается сразу за пределами России? Ты глянь по фильмам хотя бы, по забугорным.... много там Маков, много.... =)

>Иди учи матчасть в какому году появился Windows 1.0. До Win95 уже была нормальная операционка NT, перенявшая что было хорошего от UNIX и выкинувшая UNIX-овый балласт
Да, да, помним, сетевую дыру размером с кратер в Аризоне, не закрытую вплоть до nt3.51sp(не помню 6 или 7), позволяющую получить удаленный доступ с правами системы. net use \\server\ipc$ с пустым юзером и паролем :-)
>и ограничения вроде невозможности вложить группу в группу, убогой двухуровней модели один суперюзер-остальные юзеры
А зачем плодить сущности там, где в этом нет необходимости?
>(как контроллировать админу по безопасности десяток админов-рутов на сервере, как ограничивать их полномочия? возможно с помощью недавно появившегося RBAC, технологии содранной с NT, возможно создать что-то похожее, но это будет громоздко и
Если возможно, (а это возможно кстати, не RBAC, а RSBAC, почувствуй разницу, про selinux тоже забывать не стоит :-)), то к чему выпуск газов про невозможность этого под Linux? Громоздко по сравнению с чем? И на каких конкретно задачах?
>и необходимость централизованной модели управления доступом при разработке RBAC не учитывалась),
4.2
>невозможности делегировать права по смене атрибутов файлов(попробуй создать файл под user1, а затем предоставить пользователю user2 средствами POSIX rights/POSIX ACL возможность сменить атрибуты.
Для каких конкретно целей нужны такие непотребства? Примеры в студию. Особенно при десктопном применении системы.
>В UNIX атрибуты файлы может менять только кладелец и никто иной),
Обходится с помощью RSBAC.
>убогая интеграция в домен(NIS/YP),
Да-да, связка из коробки NLD+SLES на основе eDir фуфел, анданзачна. Про разделение полномочий по сравнению с AD напомнить? Не из коробки есть еще LDAP/PAM, RHEL AS/WS :-)
>отсутвие такого понятия на уровне ОС как делегирование полномочий(Backup/Account Operator/..)
Backup Operator - это вообще биробизяна, назначенная в определенное время вынимать и вставлять внешние носители из/в backup сервера и делать отметку в журнале, остальное делается без помощи хомо сапиенса из крона. Ему еще и привилегии нужны? Разве что физический доступ к backup серверу. :-)
>Account Operator/
Это тот, который по почте логи читает и в нагиос зырит? Привилегии на доступ к веб-браузеру, почтовому клиенту и серверу мониторинга у него есть :-). Еще есть логин с набором скриптов создать/удалить/изменить пользователя. Если дать ему права на изменения правил работы этих самых пользователей, получается ТАКОЕ!!!, что после этого хочется сразу сделать ему обрезание мозга по самые пятки :-) А уж если квалификация позволяет ему понимать, что он этими изменениями может сделать, он перестает быть account оператором, ибо невыгодно.
>и многие другие недостатки UNIX-ов,
Например, многопользовательность, заложенная в систему изначально :-)
>потому что построили свою систему с нуля,
По дороге пройдя по бескрайним полям детских граблей, собрав их в красивые коробки и раскидав перед неискушенными покупателями :-)
>хотя, устранив убогости UNIX-ов и пойдя по собственному пути, получили свои собственные специфические заморочки.
Детские грабли, раскрашенные в телепузные цвета и требующие для работы 3д ускоритель и 256М видеопамяти для реалистичности поиска документов "пьянка на очередной презентации винды" :-)

>В UNIX атрибуты файлы может менять только кладелец и никто иной),
>Обходится с помощью RSBAC.
или sudo :-)

А скоро выйдет Леопард. И опять поднимет планку удобств на недосягаемый уровень... После Мака за Виндой очень тяжело... Глючно (касается ОС), неудобно и некрасиво...

>После Мака за Виндой очень тяжело... Глючно (касается ОС), неудобно и некрасиво...

Я постоянно в винде на работе порываюсь таскать/ресайзить окна за любую точку =)))

>Кому может взбрести в голову перевести сметчиков, работающих, например, в "Грандсмета"(она кстати к HASP-у вяжется, так что под вайн работать не будет), которая в 2.5 раза дороже прошки или в восемь раз дороже хомки, на альтернативную ОС и искать алтернативу которая актуальна для данного региона, с постоянной поддержкой, или инженеров, работающих в "Автокад" или в "Компас"
etopizdes, заглянул на огонёк?
>А с игрущками что... что проще юзеру - маяться с цедегой, вайном и,
Или через год просто купить PS3 и выкинуть нах хупертреды с двукорами :-)

> После Мака за Виндой очень тяжело...

Да и после КДЕ не очень :)

> Да и после КДЕ не очень :)

Это точно ;-)

> Microsoft: Linux не угроза Windows на рабочем столе

А если ЗАСТАВИТЬ всех пользователей использовать лицензионное ПО?

> Также он сказал, что ученые мужи предвещали годами, что Linux получит импульс на рабочем столе, но этого не произойдет из-за сложностей связанных с созданием интегрированного и протестированного продукта для рабочего стола.

Видать, не то тестировали...

:-)

> Да, да, помним, сетевую дыру размером с кратер в Аризоне, не закрытую вплоть до nt3.51sp(не помню 6 или 7), позволяющую получить удаленный доступ с правами системы. net use \\server\ipc$ с пустым юзером и паролем :-)

И в чем ужас нулевой сессии? Через фингер и rpcinfo тоже можно юзеров и NFS-шары перенумеровать.

> А зачем плодить сущности там, где в этом нет необходимости?

Необходимость вложения групп и разделения полномочий админов есть.

> Если возможно, (а это возможно кстати, не RBAC, а RSBAC, почувствуй разницу, про selinux тоже забывать не стоит :-)), то к чему выпуск газов про невозможность этого под Linux? Громоздко по сравнению с чем? И на каких конкретно задачах?

На любой NT ролевая модель - родная. Для *nix RBAC это громоздкий кривой костыль, который нужно прикручивать. Где централизованный механизм управления политикой RSBAC?

> Для каких конкретно целей нужны такие непотребства? Примеры в студию. Особенно при десктопном применении системы.

Два юезра, имеющие доступ к /var/www/somehost/cgi-bin. Имется файлик blah.cgi, созданный первым юзером, второй юзер пытается сделать chmod +x blah.cgi и получает отлуп, permission denied. Каким атрибутом файловой системы на директории или на файле можно делегировать права по модификации атрибутов другому юзеру/группе? sudo? Ok, а как без помощи рута, который вынужден будет бежать и править sudoers? Как сделать чтобы сам юзер, не обладающий правами рута? мог делегировать права по модификации атрибутов любому своего файла другому юзеру? Где наследование атрибутов от родительсктого каталога, чтобы постоянно не нужно было делать chmod -R? А никак - нет таких возможностей.

> Да-да, связка из коробки NLD+SLES на основе eDir фуфел, анданзачна. Про разделение полномочий по сравнению с AD напомнить? Не из коробки есть еще LDAP/PAM, RHEL AS/WS :-)

Честно говоря, eDir не видел ни в Gentoo ни в Debian ни в FC ни в SuSe, поэтому судить не берусь. Классика интеграции UNIX это убогий NIS/YP. PAM/LDAP это конструктор "Сделай Сам", неужели он парой кликов позволяет отключить в браузерах домена использование Java, прописать и запретить изменение адреса proxy-сервера в браузерах, прописать начальную страницу, запретить запуск терминала, выключить группу сервисов и т.д., позволяет в два тычка организовать прозрачную авторизацию в домене(при чем не открытым текстом) юзеров на корпоративных web/ftp/smb/mail/proxy/sql серверах?

> Backup Operator - это вообще биробизяна, назначенная в определенное время вынимать и вставлять внешние носители из/в backup сервера и делать отметку в журнале, остальное делается без помощи хомо сапиенса из крона. Ему еще и привилегии нужны? Разве что физический доступ к backup серверу. :-)

Новые сервера в эксплуатцию не вводятся? Всю жизнь бэкапится только две директории? Т.е. никакого переконфигурирования, чем мог бы заниматься оператор резервирования вместо рута, нет? Факт в том, что понятия привилегий нет, всем заправляет рут, который клепает какие-то самопальные кривые скриптики, регулярно их обновляет, вместо того, чтобы просто делегировать роль Backup Operator. Это более выскоий уровень, все одно что сравнивать ассемблер с C или Java, ассемблер, конечно круто, но на ним серьезные проекты никто не пишет, пишут на более высоком уровне абстракции, так и в NT с привилегиями, наследованием атрибутов, делегированием полномочий, вложением групп и т.д.

> Еще есть логин с набором скриптов создать/удалить/изменить пользователя. Если дать ему права на изменения правил работы этих самых пользователей, получается ТАКОЕ!!!, что после этого хочется сразу сделать ему обрезание мозга по самые пятки :-)

Ага нужно делегировать права по заведению юзеров - тоже клепай наколенный кривой скрипт или вгоняй юзеров сам, вместо того чтобы переложить эту обязанность на выделенную штатную единицу, т.к. такого понятия как Account Operator с соответсвующими привилегиями и понятия привилегий нет. Реально ли вообще организовать в двухуровневой модели аккаунт админа бензопасности, который сможет лишать админов некоторых привилегий и контроллировать их действия и как вообще это будет все выглядеть?

> Например, многопользовательность, заложенная в систему изначально :-)

Терминал-сервер это, значит, миф.

> Детские грабли, раскрашенные в телепузные цвета и требующие для работы 3д ускоритель и 256М видеопамяти для реалистичности поиска документов "пьянка на очередной презентации винды" :-)

Ну а раньше для компьютера хватало даже 64 килобайта ОЗУ и что? Да и вы уверены, что для бизнес-десктопов и серверов не будет варианта без всей этой 3д муйни, типа Vista Business Edition/Vista Server? Честно говоря дикие сиситемные требования и перспективы миграции на такое чудо несколько беспокоят.

> А если ЗАСТАВИТЬ всех пользователей использовать лицензионное ПО?

В нормальных фирмах, не желающих поиметь порблем с ОБЭП, итак используют лицензионное. Почетную обязанность заставить домашних юзеров пользовать лицензионное ПО, ходя по квартирам и напрашиваясь пустить тебя проверить компьютер, можешь попробовать взять на себя.

> Ну вот и ладненько, сидите себе на игле, платите бабло и забудьте о свободе. Я понимаю, ещё, когда используют такое ПО от отсуствия выбора. Но когда его используют просто потому что так делают все - ужас. Делать проприетарщиков сильнее - рыть себе же могилу imho.

А потом еще удивляются почему народ считает опенсорс бесплатным, а все потому, что акие как вы все уши прожужжали, свобода, не надо платить бабло, опенсорс! ))) Ок мы не хотим платить бабло, ты согласен предоставить нам бесплатный неворованный аналог "Грандсметы" и "Грандстройинфо" с обновлениями, бесплатный неворованный Гарант, полноценный Конс+, бесплатный справочник по городу, конфигуратор для АТС Neax под Linux, бесплатную биллинговую телефонную систему, бесплатную альтернативу 1С под Linux с обновлениями и бесплатными обновляемыми конфигурациями, бесплатный аналог AutoCAD для Linux, совместимый на 100% с его форматами и плагинами, бесплатный аналог Photoshop с плагинами в котором они найдут тот же функционал, бесплатный линуксовый софт для котельной, для съема показаний с датчиков-газоанализаторов, бесплатный софт для СКУДов(Система Управдления и Контроля Доступа), бесплатный аналог AD+GPO+WMI с тем же функционалом, бесплатную ERP, ну и много чего еще бесплатного надо, например, нормальную Groupware типа Exchange или Lotus. При чем на ПК под Linux нужно будет обеспечить совместимость с любым экзотическим десктопным железом, потому что, например директору недавно подарили логитековскую вебкамеру и он хотел бы, чтобы она полнофункционально работала(у меня такая же вебкамера и под Gentoo Linux работает погано без компрессии и с искаженной цветопередачей). Ну что, возьмешься за все это? Справишься? Сможешь аргументировать необходимость перевода нормально работающих ПК и серверов на другие платформу и необходимость оплатить тебе титанический труд?

Вы провокатор. Не ОК, вы хотите слишком многого. Бесплатно давать вам продукты на которых вы потом будите с других рубить бабло - не слишком ли? Вложите часть своего труда, тогда уже ждите каких-либо доходов. Либо пользуйте проприетарный софт дальше и не лезьте сюда. Когда докажите, что вы купили себе всё, что перечислили, лично я перестану вас считать халявщиком и вором, использующим незаконно для своего обогащения труд других.

У меня к вам встречное предложение, раз в таком тоне постите. Я хочу в течении ближайших пяти минут слетать на Марс. Раз ваши проприетарные продукты и винда так хороши, обеспечте мне посредством их реализацию моего желания. Время пошло!

Ждал, ждал - ничего. Не свозили меня на Марс. Ну и нафига, спрашивается, все ваши виндовсы и грансметы, если они при такой стоимости не могут реализовать простейшее моё желание? Всё, нафиг в топку.

> Вы провокатор. Не ОК, вы хотите слишком многого. Бесплатно давать вам продукты на которых вы потом будите с других рубить бабло - не слишком ли? Вложите часть своего труда, тогда уже ждите каких-либо доходов.

Ну а кто предлагал слезть с иглы, не платить бабло и ощутить свободу?

> Либо пользуйте проприетарный софт дальше и не лезьте сюда.

Ну так и пользуем. Это ж вам неймется посоветовать слезть с иглы и не платить бабло.

> Когда докажите, что вы купили себе всё, что перечислили, лично я перестану вас считать халявщиком и вором, использующим незаконно для своего обогащения труд других.

И как я вам должен это доказать? Софт почти весь куплен, включая и лицензии на подключения CAL - у нас с этим сейчас строго. А вот когда вы предложите реальный вариант эксплуатации Linux на десктопах и пусть даже не бесплатные _полноценные_ альтернативы, а не изврат с вайном с легальным софтом, у которого отломали HASP, всего того, что было перечислено, я перестану вас считать фанатиком и балаболом, который советует то, в чем сам не уверен.

> У меня к вам встречное предложение, раз в таком тоне постите. Я хочу в течении ближайших пяти минут слетать на Марс. Раз ваши проприетарные продукты и винда так хороши, обеспечте мне посредством их реализацию моего желания. Время пошло!

Да, пожалуйста, свяжитесь с Европейским Космическим Агенством, заплатите пару миллиардов и уверен, что это вам организуют. Бесплатный круиз на Марс, чтобы ощутить свободу и слезть с иглы обыденности я вам не предлагал.

> Софт почти весь куплен, включая и лицензии на подключения CAL - у нас с этим сейчас строго.

Почти весь потому что кое-что сейчас в процессе дозакупки.

А как грызутся то ... а народ как сидел на Windows - так и сидит... а про Linux если и слышит - то от красноглазых пионеров. Или же от красноглазых админов, которые перевели контору на Linux - "потамучта эта крута" и плюются им всчлед - потому как глючит все по черному из коробки

> Ну и нафига, спрашивается, все ваши виндовсы и грансметы, если они при такой стоимости не могут реализовать простейшее моё желание?

Бросай курить траву. Речь не о том, что винда рулит сама по себе, а о том, что платформа, какая бы она не была, без широкой официальной поддержки железячников и коммерческих софтовиков нах никому не нужна. Когда в любом магазине запросто можно будет приобрести машину с предуставленным Linux на борту, под которым будет работать любой прикладной софт, что бегает под виндой, каждый вендор будет комплектовать свою железку дровами для Linux, тогда и можно будет говорить о Linux на десктопе, а пока за последние лет 7 мало что изменилось на десктопе - появилось разве что автомонтирование и локализация из коробки и больше рюшек в КДЕ и Гноме...

anonymous (*) (27.06.2006 12:21:40):

> ...нормальная операционка NT, перенявшая что было хорошего от UNIX и выкинувшая UNIX-овый балласт и ограничения вроде невозможности вложить группу в группу, убогой двухуровней модели один суперюзер-остальные юзеры ...

Мне НТя очень напоминает Запорожец. Был такой автомобиль, сплошь прогрессивные технические решения...

НТя, как ребенок малый, все в рот тянет. Просто, чтобы можно было сказать, что есть, круто и в высшей степени прогрессивно!! Как и следовало ожидать, получилась эклектично наваленная куча. Десктопные фичи мешаются с серверными, реалтаймными и embedded - специфичными, все страшно сложно, жутко неудобно и фактически не востребовано. Но представлено как чуть ли не революционный прорыв в осестроении! Преемптивное микроядро с графикой в нулевом кольце; супер-пупер файловая система, не лишенная склонности к фрагментации, но с пертензиозным названием (весьма, впрочем, убогая по своим возможностям), многопоточные файлы (которыми вообще никто не пользуется); принципиально многонитевой дизайн в сочетании с посредственной масштабируемостью; многие индивидуальные настройки безальтернативно делаются кликами мышы -- остальные тщательно запрятаны в реестр; череззаднично-навороченная система разграничения административных полномочий (впрочем, в XP по умолчанию спрятанная), заставляющая большинство юзеров работать под админом и слать по мере необходимости друг другу пароли мейлом...

Почему-то я не видел в реальности, чтобы кто-то юзал все эти ACL с доменами. А вот Юниховая систем "я-мы-они" вкупе с sudo прекрасно работает. То есть вообще без проблем! И не в теории, а на практике. И, очевидно, бОльшего от операционки просто не требуется. Требовать от операционки всех этих доменных прибамбасов с делегированиями -- примерно как микроскопом гвозди забивать. Впрочем, НТя -- не совсем операционка, поэтому иначе там и не получится...

> ...возможно с помощью недавно появившегося RBAC, технологии содранной с NT,...

Есть такое дело, к сожалению. Современный Юних- (и особенно Линух-) пользователи хорошенько пропиарены супер-технологиями от M$. Постоянно наблюдается тенденция слизывать все самое неудачное...

Если бы были в никсах вложенные группы - ох насколько меньше гиммороя было бы при "нарезке" - но НЕТУ! :-( Про ACL - их ведь тоже не с проста во _всех_ новых никсах прикрутили ...

> Два юезра, имеющие доступ к /var/www/somehost/cgi-bin. Имется файлик blah.cgi, созданный первым юзером, второй юзер пытается сделать chmod +x blah.cgi и получает отлуп, permission denied. Каким атрибутом файловой системы на директории или на файле можно делегировать права по модификации атрибутов другому юзеру/группе? sudo? Ok, а как без помощи рута, который вынужден будет бежать и править sudoers? Как сделать чтобы сам юзер, не обладающий правами рута? мог делегировать права по модификации атрибутов любому своего файла другому юзеру? Где наследование атрибутов от родительсктого каталога, чтобы постоянно не нужно было делать chmod -R? А никак - нет таких возможностей.

groupadd grp for usr in foo bar ...; do useradd $usr -g grp; done chown root:grp $file chmod 664 $file

И зачем разрешать модифицировать файло одного хостящегося другому хостящемуся? Для приведения уровня безопасности юниксов по умолчанию к виндовому? ;)

Наследование прав от корня - такое возможно и без MAC, выставляется в опциях монтирования ФС, кажись (для некоторых ФС), а для создателей выходит автоматом бай дефолт...

>Почему-то я не видел в реальности, чтобы кто-то юзал все эти ACL с доменами. А вот Юниховая систем "я-мы-они" вкупе с sudo прекрасно работает.

Упрощенная система "я-мы-они" в стиле UNIX вполне достаточна для небольших исследовательских лабораторий, где UNIX зародилась, или для университетов, где UNIX быстро распространялась в первые годы.

Для организаций, где необходима более сложная политика безопасности, упрощенная система UNIX создает проблемы. Для предприятия с десятком тысяч сотрудников и многими структурными подразделениями Вы бы сами изобрели что-нибудь подобное всем этим ACL с доменами.

>Для организаций, где необходима более сложная политика безопасности, упрощенная система UNIX создает проблемы. Для предприятия с десятком тысяч сотрудников и многими структурными подразделениями Вы бы сами изобрели что-нибудь подобное всем этим ACL с доменами.
Для предприятия с десятками тысяч сотрудников существуют groupware со своими настройками.

>Если бы были в никсах вложенные группы - ох насколько меньше гиммороя было бы при "нарезке" -
При нарезке ЧЕГО?
>но НЕТУ! :-( Про ACL - их ведь тоже не с проста во _всех_ новых никсах прикрутили ...
А вы не в курсе, что дополнительные ACL снижают производительность и при небрежном использовании снижают безопасность (это не шутка).
А то, что их прикрутили, означает лишь то, что таки да, кому-то потребовалось. Но процент использования ACL в повседневной жизни на домашних машинах и рабочих десктопах ->0. Если есть опровержение, прошу :-)

> неужели он парой кликов позволяет отключить в браузерах домена использование Java, прописать и запретить изменение адреса proxy-сервера в браузерах, прописать начальную страницу, запретить запуск терминала, выключить группу сервисов и т.д., позволяет в два тычка организовать прозрачную авторизацию в домене(при чем не открытым текстом) юзеров на корпоративных web/ftp/smb/mail/proxy/sql серверах?

И все это парой кликов? %)) Завтра сношу *никсы вообще все что есть нах и переезжаю на винды :)

> Новые сервера в эксплуатцию не вводятся? Всю жизнь бэкапится только две директории?

Veritas наше все. Аманда тоже в теме -)

> Т.е. никакого переконфигурирования, чем мог бы заниматься оператор резервирования вместо рута, нет?

Постоянно переконфигурируемые инкрементальные бакапы - это жесть =)

> Факт в том, что понятия привилегий нет, всем заправляет рут, который клепает какие-то самопальные кривые скриптики, регулярно их обновляет, вместо того, чтобы просто делегировать роль Backup Operator.

man useradd; man chmod; cat /etc/passwd

> Ага нужно делегировать права по заведению юзеров - тоже клепай наколенный кривой скрипт или вгоняй юзеров сам, вместо того чтобы переложить эту обязанность на выделенную штатную единицу, т.к. такого понятия как Account Operator

А нахера, извиняюсь, городить огород, если проще вписать в конфиг sudo отдельной строкой право запускать useradd?

> Реально ли вообще организовать в двухуровневой модели аккаунт админа бензопасности, который сможет лишать админов некоторых привилегий и контроллировать их действия и как вообще это будет все выглядеть?

Влехкую - это еще один пользователь с UID=0 и соответствующими знаниями. Но когда кто-то имеет право порезать других, не будучи компетентным - то ужоснах.

> Терминал-сервер это, значит, миф.

Заложено в Х-протоколе с незапамятных времен :)

> Ну а раньше для компьютера хватало даже 64 килобайта ОЗУ и что? Да и вы уверены, что для бизнес-десктопов и серверов не будет варианта без всей этой 3д муйни, типа Vista Business Edition/Vista Server? Честно говоря дикие сиситемные требования и перспективы миграции на такое чудо несколько беспокоят.

Ага, а в чем тогда смысл в переходе с 2000 на ХП и далее на бизнес-Висту? Проплатить очередную корочку хлеба маркетоидам МС, или из-за возможной потери обратной совместимости всего и вся, что так любят оные МС-овцы? ) А у отцов бизнеса по-любому как стояла, так и будет стоять вин-2к.

> НТя, как ребенок малый, все в рот тянет.

А что происходит с Linux, где в одном ядре соседствуют embedded/preempt фичи,драйвера твтюнеров и звуковух, графические DRI-драйвера крутящиеся в режиме ядра, драйвера семисегментных индикаторов, plug and play и NTFS, где наспех втыкают новую фичу SCTP и затем ловят кричтисекие ошибки одну за другой, где stable совмещен с development?

> Десктопные фичи мешаются с серверными, реалтаймными и embedded - специфичными, все страшно сложно, жутко неудобно и фактически не востребовано.

МОжет быть дело в том, что привычка или "ниасилил"?

> весьма, впрочем, убогая по своим возможностям)

Умеющая изначально механизмы квотирования и ACL, гибкого наследования атрибутов и более гикбкая система прав, а не убогое rwx...

> череззаднично-навороченная система разграничения административных полномочий (впрочем, в XP по умолчанию спрятанная)

Да навороты это плохо, нам бы попроще, чтобы можно было асилить, что-нить более убогое... Хотя не спорю, что некоторые сделано нелогично или мягко говоря через одно место, но и предложение использовать sudo для того, чтобы компенсировать отсутствие такого атрибута, как разрешить управление атрибутами такому-то юзеру и chmod -R/chown -R для компенсации отсутвия функционала наследования атрибутов в *NIX это тоже оно самое - решение через задницу, костыль.

> Почему-то я не видел в реальности, чтобы кто-то юзал все эти ACL с доменами.

Значит мало что видел, потому, что домены,ACL,AD,GPO и т.д. используется достаточно широко на предприятиях уровнем немного больше, чем три писюка.

> А вот Юниховая систем "я-мы-они" вкупе с sudo прекрасно работает.То есть вообще без проблем! И не в теории, а на практике.

Ну и как же добавить к rwx дополнительные права "разрешить изменение атрибутов файла", бит "наследовать права от парента" и бит "переопределять права на файлах нижележащих уровней"? Реши задачку есть два юзера, оба имеют доступ к папке cgi-bin с правами 775 root:users, один создал скрипт с правами 644(umask у него был 0022) или пусть даже права будут 664, зато группа прописалась первичная, такая же как логин - user1, а в этой группе только он сам, посему второй юзер user2 отредактировать файл не может - нет доступа, пытается сделать chmod +x, или или chmod g+w и получает chmod: changing permissions of `blah.cgi': Operation not permitted. Что делать? Звонить юзеру user1, чтобы он сделал chgrp users blah.cgi chmod +x blah.cgi или вызывать рута? Или звать рута, чтобы он пошел побаловался с sudoers(одна ошибка в sudoers и sudo отваливается у всех юзеров на сервере - замечательно). А что, если директория у нас по NFS подмонтирована? Править sudoers на всех машинах, где могут сидеть user1 и user2? Просто супер! А что, если юзеры по FTP через гуишный FTP-клиент работают с одним сайтом, прописывая права скриптов(команда SITE CHMOD), как туда sudo прикрутить? Вот и сломался костыль sudo ... Было бы шикарно, если бы права были бы NT-ишные - можно было задать атрибут на директории с сайтом, где возятся эти юзеры "разрешить полный доступ для группы users в данной директории и нижележащих" или если более развернуто "разрешить создание+чтение+запись+модификацию+удаление+смену атрибутов всем членам группы users в данной директории и всех что ниже"...

>Эх... Я подозреваю что MS не зря взялась за рынок игровых консолей %-)

Они уже успешно провалили своё вхлждение в него :) хэ бокс уже покупается всё меньше и меньше...

>А то что скоро и в наручных часах линукс стоять будет - это уж точно.

В наручных часах он уже стоит.

>и первый графический интерфейс сделала не Микрософт, а Apple.

s/Apple/Xerox/

>на предприятиях, на заводах, транснациональных корпорациях, в КБ, на атомных станциях, в банкоматах, в мобильниках,

Бред. Там или QNX, или *NIX, или Symbian. А венда там вообще малую часть заняла. И это факты, против которых никто не может переть.

>а те UNIX-ы которые существовали уже успешно загнулись.

ИНтересно... IRIX, HP-UX и AIX уже загнулись совсем... Не знал =)

>Не нужно гадить в карман M$, ибо она потом продаст это самое вам же ;)

Вай вай вай!!! Как будто мы это будем покупать =)))))

>И в чем ужас нулевой сессии?
Читай по буквам: удаленный доступ с правами СИСТЕМЫ. Если привел в пример первые NT в качестве "нормальных" систем, будь добр, ознакомься с недостатками оных. Гугль в помощь, или MSN :-)
>Необходимость вложения групп и разделения полномочий админов есть.
Там, где он нужен, он присутствует. selinux/rsbac/grsecurity для всех, eDirectory для SLES/NLD :-)
>Честно говоря, eDir не видел ни в Gentoo ни в Debian ни в FC ни в SuSe, поэтому судить не берусь.
Посмотри. Он хоть и платный, но для кликателей самое то :-).
>Два юезра, имеющие доступ к /var/www/somehost/cgi-bin. Имется файлик blah.cgi, созданный первым юзером, второй юзер пытается сделать chmod +x blah.cgi и получает отлуп, permission denied.
Хороший пример, жизненный :-). Итак, пойдем с постановки задачи:
мы имеем проект из 2-х веб разработчиков, которые должны иметь доступ к html и cgi (упрощенно). Не забываем, действие происходит на сервере, умеющем раздавать контент и запускать скрипты (бинарники). При этом желательно не упускать из виду, что на этом же сервере могут быть другие группы разработчиков из других проектов. Причем, разработчики не должны вообще заморачиваться на тему прав, аттрибутов, etc (надеюсь, это не оспаривается, не девелоперское это дело, систему админить :-)). Идем дальше, доступ к каталогам веб сервера осуществляется через какой сервис? ftp,smb,nfs? Если так, то в сервисах ставим соответствующий umask на каталоги и файлы для этих юзеров/групп (большинство сервисов поддерживают включения(include) конфигов). Это делается один раз (при создании юзера и привязки его к группе). Скриптом, создающим пользователя. Всё. А вы про какие-то chmod-ы толкуете :-). Простые вещи должны делаться просто. Главное, задачу поставить правильно :-).
По моему скромному мнению, ролевая система NT перегружена возможностями, реальное использование которых усложняет администрирование. И даже если они не используются (на рабочем десктопе, к примеру), то оторвать их уже невозможно. А у нас возможно и добавить и не добавлять.
Данную задачу можно решить, конечно, используя selinux и rsbac/grsec, но ЗАЧЕМ?
>Новые сервера в эксплуатцию не вводятся? Всю жизнь бэкапится только две директории? Т.е. никакого переконфигурирования, чем мог бы заниматься оператор резервирования вместо рута, нет?
При создания сервера просто копируются/корректируются конфиги бэкапа. Ничего сложного. Насколько я помню, привилегии группы backup в NT позволяют обходить систему безопасности. Давать такую возможность оператору неразумно. Надежнее предоставить машине работу, от которой можно избавить человека-оператора. Пусть лучше запускает скрипт и меняет кассеты/компакты. В случае сбоя и восстановления все равно нужен не backup оператор, а админ.
>Ага нужно делегировать права по заведению юзеров - тоже клепай наколенный кривой скрип
Единожды написанный. Что тут страшного?
>Реально ли вообще организовать в двухуровневой модели аккаунт админа бензопасности, который сможет лишать админов некоторых привилегий и контроллировать их действия и как вообще это будет все выглядеть?
selinux/rsbac/grsec на выбор. Кое-где даже из коробки.
>Терминал-сервер это, значит, миф.
Это костыль.
>Да и вы уверены, что для бизнес-десктопов и серверов не будет варианта без всей этой 3д муйни, типа Vista Business Edition/Vista Server?
Да нам то пофиг, а вы? :-)
>Честно говоря дикие сиситемные требования и перспективы миграции на такое чудо несколько беспокоят.
После первого сервис пака требования, как правило, вырастают :-)
P.S. Насчет централизованного управления из коробки рекомендую почитать о SLES/NLD/eDirectory/GroupWise. Одним словом, www.novell.com.

> И все это парой кликов? %)) Завтра сношу *никсы вообще все что есть нах и переезжаю на винды :)

Это называется Group Policy, GPO.

> Постоянно переконфигурируемые инкрементальные бакапы - это жесть =)

Ввели новую машину в домен, для ввода зовем рута, вместо того, чтобы подцепить машину и ввести в домен силами того, кому делегированы права на ввод машин в домен, а затем опять зовем рута "пропиши в sudoers бэкап оператора"? Полномочия Backup Operator-а переданы другому и снова "эй, рут, тут тебе работенка есть, исправить полтыщи /etc/sudoers на машинах"? Централизованное управление во всей красе! :)

> man useradd; man chmod; cat /etc/passwd

А я же и говорю, что понятия привилегий нет, всем заправляет рут, который клепает кривые скрипты и бегает править /etc/sudoers по сотням машин.

> А нахера, извиняюсь, городить огород, если проще вписать в конфиг sudo отдельной строкой право запускать useradd?

Ага, делегировать часть полномочий путем правки /etc/sudoers на каждой машине где нужно делегировать права или поменять называется "централизованное администрирование", а поменять скриптом пару сотен дотфайлов на разных машиных это называется "групповая политика" и пофиг, что юзер сможет безнаказанно изменять свои дотфайлы, прописывая свои параметры вместо заданных админом. :)

> Влехкую - это еще один пользователь с UID=0 и соответствующими знаниями. Но когда кто-то имеет право порезать других, не будучи компетентным - то ужоснах.

Ага uid один, а auditd по логинам разлчиий не делает, логает как действия рута, т.е. любой из админов с UID=0 может безбоязненно сливать информацию, грохать логи и его никто не вычислит, а еще может сделать su - любой_юзер и работать под его учеткой. А в NT как? Не зная пароля на чужую учетку даже админ не может на нее переключиться, админ лишенный прав аккаунт менеджера не знает чужих паролей и не может их поменять, обладает своим собственным SID, а не логином с UID0, по которому можно отслеживать все его действия по логам аудита, а не гадать кому принадлежит UID0 в логах...

> Заложено в Х-протоколе с незапамятных времен :)

Да речь не о том, а о якобы том, что NT - немногопользовательская ОСь? хотя изначально такова.

> Ага, а в чем тогда смысл в переходе с 2000 на ХП и далее на бизнес-Висту?

Смысл? Поддержка обновлений безопасности в новой версии, поддержка ОСи новыми версиями софта, некоторые категории необходимо регулярно обновлять чтобы он соотвествовал современным реалиям законодательства,СНИПов и т.д., старые версии снимают с обновлений по безопасности, а в процессе обновления "устаревшую" ОС могут снять с поддержки,вынудив на миграцию. Недавний пример. GoogleEarth на WinME, стоящей на старой машине Duron 900 у знакомых, уже не работает, пишет "неподдерживаемая ОС"... Да и мелкософт легко может спровоцировать принудительный апгрейд: привлекаем на новую версию того же .NET разработчиков, а под некоторые "устаревшие" ОС этого самого .NET не предоставляем. Нужна программа или новая версия программы, завязанная на этот компонент - ставь новую ОС, это игла.

>>на предприятиях, на заводах, транснациональных корпорациях, в КБ, на атомных станциях, в банкоматах, в мобильниках, >Бред. Там или QNX, или *NIX, или Symbian. А венда там вообще малую часть заняла. И это факты, против которых никто не может переть.

Серьезно? И где вы видели конструкторов пользующих AutoCAD, "Компас", PCAD и т.д. на *nix? А на заводах что, нет AD, а на десктопах стоят *nix? Был на паре заводов, в банках - на десктопе везде винда и MSO, AD+GPO, сервера - винда и соплярис, почтовики - фря, групварь - лотус, наблюдал банкомат с бсодом в драйвере аутпоста... В КБ у знакомого админа аналогичная картина - винда на СУБД, на ADC, на файлопомойках, на десктопах, кое-что на Solaris. Крупный системный интегратор - винда/IIS/ISA/Exchange... Супермаркет - винда на СУБД, на TS, на ADC, на шлюзе/проксе, сайт - апач, под виндой. Юристы - винда, бухи - винда, сметчики - винда, директора - винда, менеджеры - винда...

сервис-центры - винда, комп. магазины - винда, аптеки - винда, стоматологические клиники - винда... Там где фирмы покрупнее еще есть еще и фря, реже линукс на шлюзах, почтовиках, етц, у более крупных - Solaris и HP-UX на некоторых серверах, на десктопах - одна винда.

> ИНтересно... IRIX, HP-UX и AIX уже загнулись совсем... Не знал =)

Ага, доживают последние дни. SGI со своим IRIX - банкроты. HP-UX, AIX и Solaris будут таки добиты Linux-ом, поэтому и IBM и HP занимаются Linux-ом, чтобы не пролетел со своими ОСями. У Sun, видимо, дела плохи, поэтому и Solaris пошел в опенсорс, а следом за ним и Java. Novell прострал Netware, после чего еле остался в живых. IBM просрали OS/2, просрали производство винтов(скандальные дятлы DTLA), сейчас хоронит свой AIX, спонсируя, пеаря Linux, работая с RedHat и Novell...

anonymous (*) (27.06.2006 21:48:26):

> А что происходит с Linux, где в одном ядре соседствуют embedded/preempt фичи,драйвера твтюнеров и звуковух, графические DRI-драйвера крутящиеся в режиме ядра, драйвера семисегментных индикаторов, plug and play и NTFS, где наспех втыкают новую фичу SCTP и затем ловят кричтисекие ошибки одну за другой, где stable совмещен с development?

А я и не говорю, что все это хорошо. Большинство фенечек пришло в Линух усилиями нанюхавшихся НТ-прогрессивности леммингов, постоянно вопящих про то, что Линус -- ретроград.

К счастью, все это модульно и/или контролируется дефеайнами. Линух, в отличие от НТи, не кот в мешке :)

> Умеющая изначально механизмы квотирования

Так уж и изначально ;)

> ...ACL, гибкого наследования атрибутов и более гикбкая система прав, ...

Mustdie!

>> череззаднично-навороченная система разграничения административных полномочий (впрочем, в XP по умолчанию спрятанная)

> Да навороты это плохо, нам бы попроще, чтобы можно было асилить, что-нить более убогое...

Ну, я-то как раз вполне осиливаю, когда надо. А вот большинство Вындуз-пользователей почему-то совершенно не в состоянии...

Имхо ты не понимаешь основного...

M$ воспитало поколение леммингов, для которых любое действие, не укладывающееся в схему "Кликни мышой по закладке", является непостижимым интеллектуальным подвигом. Поэтому и такие эмоции -- "Убого!" "Конструктор!" "Кривые наколенные скрипты!"

Вы привыкли, что для того, чтобы решить простейшую задачу, необходимо купить (украсть) написанную Умным Дядей программу, найти нужную кнопку и куснуть ее крысюком. Кнопки нет -- задача нерешаема. А писать на коленке кривые скрипты... Еще б программу на каждый чих писать предложили бы! Кнопки (закладки, галочки, итп) нет -- решения нет!

Забывается одно -- подавляющее большинство пользователей не сумеют/не захотят разбираться даже с кнопками/закладками, будут хавать все дефолтное. А большинство из тех, кто сумеют/захотят, вполне могли бы и основы Юних-администрирования осилить (несли б не промывка мозгов Большими Дядями).

Боюсь, мы просто друг друга не поймем... Вот что я должен отвечать на задачу в столь ...странной постановке?

> Реши задачку есть два юзера, оба имеют доступ к папке cgi-bin с правами 775 root:users, один создал скрипт с правами 644(umask у него был 0022) или пусть даже права будут 664, зато группа прописалась первичная,

Прямо так вот, umask у него был 0022 (и он об этом не подозревал), а группа сама прописалась, и ничего тут не поделаешь!

> такая же как логин - user1, а в этой группе только он сам,

Как ты думаешь, зачем нужны группы?

> посему второй юзер user2 отредактировать файл не может - нет доступа, пытается сделать chmod +x, или или chmod g+w и получает chmod: changing permissions of `blah.cgi': Operation not permitted.

Все правильно, нечего чужие файлы лапать! И вообще, что юзеры делают в "папке" cgi-bin ?

Ты пойми, совершенно иной подход к проблемам, сами идеи другие, _менталитет_ другой!

>Централизованное управление во всей красе! :)
достал. eDirectory курить до посинения.
>Ввели новую машину в домен, для ввода зовем рута, вместо того, чтобы подцепить машину и ввести в домен силами того, кому делегированы права на ввод машин в домен, а затем опять зовем рута "пропиши в sudoers бэкап оператора"? Полномочия Backup
Слушай, а чем у тебя основной админ занимается? Или у тебя только операторы? Просто интересно :-)

> Это называется Group Policy, GPO.

Ээээ... а эта полиси уже готовая есть, или ее сначала нужно написать-сконфигурить? Если нужно что-то делать - то не тема, решение должно быть из коробки ;)

> Ввели новую машину в домен, для ввода зовем рута, вместо того, чтобы подцепить машину и ввести в домен силами того, кому делегированы права на ввод машин в домен, а затем опять зовем рута "пропиши в sudoers бэкап оператора"?

В принципе я согласен, что задача админа - сидеть, пить сливовое вино и размышлять о вечности... но к сожалению безмятежно спящих админов не любит работодатель, а потому иногда полезно запускать скриптец-другой, лениво пиная less... это как тот самый случай ;)

> Полномочия Backup Operator-а переданы другому и снова "эй, рут, тут тебе работенка есть, исправить полтыщи /etc/sudoers на машинах"? > Централизованное управление во всей красе! :)

Ага, выборка конфигов для /etc из лдап-нфс-бд-подобных контейнеров рулит, сто раз обсасывалось :) Причем под виндами нет вариантов - а в юниксах их десяток и можно подобрать под задачу - и масштабируемости то решение не потеряет... я уж молчу про легендарную задумчивость AD-серверов на больших числах пользователей и сложных политиках.

> А я же и говорю, что понятия привилегий нет, всем заправляет рут, который клепает кривые скрипты и бегает править /etc/sudoers по сотням машин.

"Кривые" - это несертифицированные M$? $) Вообще-то считается, что раз уж тусовка админов все придумала, спроектировала (в том числе с использованием и коробочных решений энтерпрайз класса), отладила и пустила в продакшн, то она дело знают и все идет как нужно... таки вам шашечки с логотипом "Билл одобряет" или ехать?

> Ага, делегировать часть полномочий путем правки /etc/sudoers на каждой машине где нужно делегировать права или поменять называется "централизованное администрирование", а поменять скриптом пару сотен дотфайлов на разных машиных это называется "групповая политика" и пофиг, что юзер сможет безнаказанно изменять свои дотфайлы, прописывая свои параметры вместо заданных админом. :)

Что имеется в виду под дотфайлами? И что такого критичного юзер может сделать у себя в хомяке, учитывая бакапы и изначальную ограниченность доступных ему средств, что элементарно делается средствами системы? ;)

Самая хорошая политика: "разрешено только то, что не запрещено. По умолчанию - запрещено вообще все". И не нужно морочиться с ограничениями.

Сквозь смех пишу... chattr -R +i в сценарии загрузки на $HOME или такие уж критичные файлы - способно резко поправить ситуацию в пользу юниксов :)) Ну или 555 на $HOME, и внутри - по настроению... где сложности... вы описали такую тучу проблем, а вспомнилось порядка 3-4 утилит, которые их все решают... где? ;)

> Ага uid один, а auditd по логинам разлчиий не делает, логает как действия рута, т.е. любой из админов с UID=0 может безбоязненно сливать информацию, грохать логи и его никто не вычислит, а еще может сделать su - любой_юзер и работать под его учеткой.

"su $user" тоже запишется в логи. А остальное сделает система мандатного контроля доступа, про это вам уже не раз говорили...

И неужто auditd единственное средство для решения вашей задачи?

> А в NT как? Не зная пароля на чужую учетку даже админ не может на нее переключиться, админ лишенный прав аккаунт менеджера не знает чужих паролей и не может их поменять, обладает своим собственным SID, а не логином с UID0, по которому можно отслеживать все его действия по логам аудита, а не гадать кому принадлежит UID0 в логах...

RunAs с перебиванием прав доменным админом тоже не прокатит?

Элементарное решение - принудительно меняем пароль, логинимся, творим черное дело, сбиваем пароль на немедленный запрос юзера о смене. А в схватке с озверевшим админом не выстоят ни винды, ни юниксы ;)

И у меня такое ощущение, что речь ведется в стиле "а вот у нас есть это! без него - никуда", причем "это" - конкретное решение под одну ОСь, а в идеологии другой ОС попросту либо не нужно, либо легко делается иными, но точно так же штатными средствами...

> Да речь не о том, а о якобы том, что NT - немногопользовательская ОСь? хотя изначально такова.

Ну-ну... я хотел бы поглядеть, как будет работать терминал сервер со скажем 32 пользователями на стомегабитке и какого железа потребует... Винда - немногопользовательская ОС, хотя бы в силу того, что одновременная работа многих делается путем эмуляции рабочих мест по числу работающих... это извращение.

> Смысл? Поддержка обновлений безопасности в новой версии, поддержка ОСи новыми версиями софта, некоторые категории необходимо регулярно обновлять чтобы он соотвествовал современным реалиям законодательства,СНИПов и т.д., старые версии снимают с обновлений по безопасности, а в процессе обновления "устаревшую" ОС могут снять с поддержки,вынудив на миграцию.

А предыдущая версия ОС уже не нуждается в обновлениях вообще и секьюрити-фиксах в часности? ;) На мой взгляд получается бесконечная тяга денег, с мотивацией "подстройки под новые реалии" и "новых версий софта, требующего ОС нового поколения"... Начальные расходы на решение переходят в сравнимые текущие на поддержку инфраструктуры, потом на ее переделку... и все кладется в цены... ужоснах :)

> Недавний пример. GoogleEarth на WinME, стоящей на старой машине Duron 900 у знакомых, уже не работает, пишет "неподдерживаемая ОС"...

Правильно, нефиг сидеть на недооперационках, юзайте хотя бы NT-based. А лучше - поставьте линукс, там QT тоже есть, а на крайняк - wine.

> Да и мелкософт легко может спровоцировать принудительный апгрейд: привлекаем на новую версию того же .NET разработчиков, а под некоторые "устаревшие" ОС этого самого .NET не предоставляем.

"Мыши плакали веками, кололись, но с иглы слезть не могли"?... а ведь за такое вот заложенное в расходы приходится платить кастомерам, а не непосредственно тем, что принимает и исполняет решения... вот если бы цену апгрейдов вычитали из зарплаты... это был бы славный урок ;)

> Нужна программа или новая версия программы, завязанная на этот компонент - ставь новую ОС, это игла.

Ну вот еще... в нашем мире и пользовательские API более-менее стабильны и даже замена самого что ни на есть базового компонента - headers к интерфейсам ядра с 2.4 на 2.6 (где поломалось все внутри, но не наружу) проходит практически без последствий... а разработчики активно переходят на Линукс и Соляру, потихоньку забивая на винды, и явно неспроста ;)

Вообще, нужна стабильность - ставьте юникс, нужна стабильность в линуксе - дебиан, за чистотой по лицензиям - к нему же, нужна реальная поддержка - RHEL, SuSE, нужен не линукс - есть SUN.

s/это как тот самый случай/это как раз тот самый случай/g

Или так...

> Ввели новую машину в домен, для ввода зовем рута

Есть ssh... даже есть пакетное выполнение скриптов по ssh... есть даже возможность дергать внешние ресурсы при этом... %) Вот зачем для дописки в конфиг DHCP мака сетевухи нужно звать админа, если он уже это сделал не вставая с кресла (вариант - выдернул из базы снабженцев, и внес в конфиги заранее)? А заявок на выполнение каких-то работ никто не отменял, каждый делает свое дело, и есть стандартные процедуры при появлении нового юзера и т.п.

А вот при введении новой ВИНДОВОЙ машины в домен... хехе ))

> Централизованное управление во всей красе! :)

Именно. К юниксовым сервакам не подходят годами, железо нормальных рабочих станций обслуживается в идеале инженерами вендора. Одно фигово - непонятно как обосновать потребность в кресле с массажером и пивном терминале с удаленным управлением :)

> А я же и говорю, что понятия привилегий нет, всем заправляет рут, который клепает кривые скрипты и бегает править /etc/sudoers по сотням машин.

Никто таки никуда не бегает... сидим и тихо дремлем, запустив в фоне имитацию бурной деятельности... страдаем иногда с непривычки, пытаясь найти нативные vim, bash и /usr/bin/perl залогинившись по терминалке на win2003as, но справляемся :)

>А вот при введении новой ВИНДОВОЙ машины в домен... хехе ))

Это еще ничего. Пару недель ит-шники трахались, чтобы sharepoint (и ms project) из одного домена мог работать в другом. Поначалу даже по ip-адресу зайти было нельзя, хотя пользователь существовал в обоих доменах с довольно широкими правами.

Юзеры бывают разные.

Бывают менеджеры, бухгалтеры, программеры, художники, дизайнеры.

Они очень разные.

>и первый графический интерфейс сделала не Микрософт, а Apple

Xerox. Потом его купила Apple - в xerox посчитали разработку неперспективной.

>на атомных станциях

QNX на атомных станциях.

А про крейсер мы все помним, как, впрочем, и то, что с ним случилось и что потом сделали с софтом.

А почему процент линукса на десктопе медленно, но верно, растет? И на мобилах?

>QNX на атомных станциях.

А у операторов разве не винда? А у всех остальных(ведь там не только операторы работают) на десктопе что. Кажется, на ЛОРе уже обсуждали и высказывались те, кто работал на АЭС.

>А про крейсер мы все помним, как, впрочем, и то, что с ним случилось и что потом сделали с софтом.

Ага, кривая софтина под NT, которая упала в деление на ноль и в этом, естественно, обвинили NT, на которую был осуществлен переход. Все логично: стоял *nix или вообще не было компьютера - все работало, поставили NT - система упала. Виноват кто? Тот кто кодил криво программу навигации или занес нуль в базу, от которой рухнула программа без проверки на деление на ноль? Нет. Виновата, есессно, NT, которую поставили. Железная, чисто военная, логика.

>А почему процент линукса на десктопе медленно, но верно, растет? И на мобилах?

На мобилах видимо, потому, что железячникам выгодно сэкономить на прошивке, чтобы обскакать конкурентов. А на десктопах с предустановленным Linux юзера сносят предустановленный Linux и ставят пераццкую венду? (c) А процент предустановленных FreeDOS, которую также сносят, не возрос? Мифы про существование фирм, где на десктопах стоял бы Linux, вот только на ЛОРе и обитают...

>QNX на атомных станциях.

А у операторов разве не винда? А у всех остальных(ведь там не только операторы работают) на десктопе что. Кажется, на ЛОРе уже обсуждали и высказывались те, кто работал на АЭС.

>А про крейсер мы все помним, как, впрочем, и то, что с ним случилось и что потом сделали с софтом.

Ага, кривая софтина под NT, которая упала в деление на ноль и в этом, естественно, обвинили NT, на которую был осуществлен переход. Все логично: стоял *nix или вообще не было компьютера - все работало, поставили NT - система упала. Виноват кто? Тот кто кодил криво программу навигации или занес нуль в базу, от которой рухнула программа без проверки на деление на ноль? Нет. Виновата, есессно, NT, которую поставили. Железная, чисто военная, логика.

>А почему процент линукса на десктопе медленно, но верно, растет? И на мобилах?

На мобилах видимо, потому, что железячникам выгодно сэкономить на прошивке, чтобы обскакать конкурентов. А на десктопах с предустановленным Linux юзера сносят предустановленный Linux и ставят пераццкую венду? (c) А процент предустановленных FreeDOS, которую также сносят, не возрос? Вы лично хоть один десктоп на Linux на предприятиях видели? Мифы про существование фирм, где на десктопах стоял бы Linux, вот только на ЛОРе и обитают...

>Ну а кто предлагал слезть с иглы, не платить бабло и ощутить свободу?

Я и сейчас предлагаю. Не хотите - дело ваше. Но не надо утверждать, что на ней хорошо и всем предлагать бесплатную дозу. В вашем случае, можно сказать, что слезать уже поздно и путь один-на кладбище. Но обычно, нарки без перспектив осознавшие к чему они пришли как минимум стараются рассказать об этом, чтобы их путь не повторили те, у кого шанс ещё есть. Вы же как озлобленные ВИЧ инфицированные колите себя а потом идёте в толпу и начинаете этой иглой заражать ни в чём не виноватых людей.

>Ну так и пользуем. Это ж вам неймется посоветовать слезть с иглы и не платить бабло.

См выше, вы не просто его используете, а как террористы себя ведёте :) Или проще - как дети, влезли в дерьмо - нет чтоб других предупредить, вам хочется, чтобы все в него попали - тогда вам будет не так обидно.

>И как я вам должен это доказать? Софт почти весь куплен, включая и лицензии на подключения CAL - у нас с этим сейчас строго. А вот когда вы предложите реальный вариант эксплуатации Linux на десктопах и пусть даже не бесплатные _полноценные_ альтернативы, а не изврат с вайном с легальным софтом, у которого отломали HASP, всего того, что было перечислено, я перестану вас считать фанатиком и балаболом, который советует то, в чем сам не уверен.

Где вы видели, чтобы я пропагандировал незаконные решения? Если купили - к вам остаются притензии описанные выше.

>Да, пожалуйста, свяжитесь с Европейским Космическим Агенством, заплатите пару миллиардов и уверен, что это вам организуют. Бесплатный круиз на Марс, чтобы ощутить свободу и слезть с иглы обыденности я вам не предлагал.

Так значит свободный софт всё же лучше! Билл в космос не слетал, а Марк - слетал. Вот и всё.

> M$ воспитало поколение леммингов, для которых любое действие, не укладывающееся в схему "Кликни мышой по закладке", является непостижимым интеллектуальным подвигом. Поэтому и такие эмоции -- "Убого!" "Конструктор!" "Кривые наколенные скрипты!"

Эмоции потому, что убогость познается в сравнении, а выражается убогость в базировании на устаревших концепциях UNIX - невозможность вложения группы в группу, двухровневая убогая модель полномочий требующая массы костылей, убогие атрибуты POSIX rights и POSIX ACL, которых не хватает, отсутствие наследования атрибутов, централизованная авторизацию и централизованное управление - домашнее задание-головоломка и т.д. Не вижу ничего крутого в том, чтобы костылями обходить подобные ограничения, вместо автоматического наследования атрибутов - баловаться с chmod/chown -R и sudo, вместо вложения нескольких групп в группу заниматься парсингами и конкатенациями списков пользователей, вместо централизованного назначения привилегий и ролей извращаться с /etc/sudoers на каждой машине, вместо централизованной групповой политики, поддержка которой могла быть заложена изначально в софте, городить кривой скрипт-костыль массовой правки .dot-файлов. А скрипты в NT на самом деле есть: WSH+WMI скрипты, батники, логон-скрипты, скрипты unattended install...

> Так уж и изначально ;)

А разве нет?

>Вы привыкли, что для того, чтобы решить простейшую задачу, необходимо купить (украсть) написанную Умным Дядей программу, найти нужную кнопку и куснуть ее крысюком. Кнопки нет -- задача нерешаема. А писать на коленке кривые скрипты... Еще б программу на каждый чих писать предложили бы! Кнопки (закладки, галочки, итп) нет -- решения нет!

А кто мешает не ныть, а точно также самому написать скрипт или самому написать необходимую програму? Вот только админ уже давно не обязан быть программистом и спецом по ремонту электроники в одном флаконе. Что неправильного в том, чтобы функционал в программы добавлял профессиональный программист, админ - администрировал(конфигурировал ПО и управлял пользователями), а пользователь - использовал? Не грамотное ли это разделение труда? А писать на каждый типовой чих скрипт, а не иметь этот функционал в программе "из коробки" - ненормально. Почему люди предпочитают кнопки типовой системы климат-контроля или автоподъемника стекол, а не наслаждаются крутостью обмахивания веером и механическими ручками подъема стекол "не для леммингов", почему не лезут в прошивку бортового компьютера авто, чтобы заточить под себя, и не занимаются допиливанием и докручиванием сидений, а вполне довольствуются типовым функционалом?

> Забывается одно -- подавляющее большинство пользователей не сумеют/не захотят разбираться даже с кнопками/закладками, будут хавать все дефолтное.

А зачем им разбираться, если умолчания удовлетворяют запросам? Грамотные дефолты для того и выбираются разработчиками софта. А админ на что? Вот он как раз, при необходимости, и отконфигурирует централизованно эти самые умолчания.

> Mustdie!

Серьезный аргумент!

> Прямо так вот, umask у него был 0022 (и он об этом не подозревал), а группа сама прописалась, и ничего тут не поделаешь!

Ну почему - можно вызывать вебшкодеров-клиентов к себе на ковер, отчитывать их за незнание шелла, проводить ликбез и требовать чтобы они двадцать раз подумали какой umask сделать и не забывали делать newgrp или chown/chgrp(чтобы прописалась не первичная группа, а та, которая необходима) и chmod(на всякий случай), разучивать sudo или прописывать sudo а алиасы, запретить пользоваться FTP(потому что он не поддерживает sudo и алиасы в команде SITE CHMOD) и требовать ходить на шелл после создания каждой страницы и каждого скрипта и прописываь там необходимыен чмоды и группы. Или можно сделать скрипт, который будет делать chmod -R g+rwx /var/www/...&&chgrp -R users /var/www/... каждую минуту - тоже решение. ;) И вот только одни ламеры в своей NT используют свой механизм автоматического переопределения прав на файлах(наследование) и дополнительный атрибут "разрешить смену атрибутов файлов юзеру/группе". Но настоящим юниксоидам такой механизм не нужен, ибо по-ламерски просто и вообще маздай, мы не ищем легких путей...

> Как ты думаешь, зачем нужны группы?

Чтобы объединять пользователей пользователей. При создании файла прописывается _первичная_ группа, а юзера групп может быть не один десяток. Чтобы другой юзер мог править файл он должен быть включен в туже группу, что прописана на файле, если первичная группа у юзера user1 будет не users, а user1 или project2, то второй юзер не сможет править файл user1:project2 664 или user1:user1 644, потому как user1 и user2 принадлежат только к группе users, а users - не первичная группа. У юзера есть только один вариант - он должен будет бегать и постоянно писать umask/chmod(если глобальный umask FTP-сервера здесь не годится. наколько я знаю vsftpd конфигурируется только глобальный), newgrp/chgrp на ssh после загрузки очередного файла по FTP, чтобы прописалась нужная группа и чмод.

> Все правильно, нечего чужие файлы лапать! И вообще, что юзеры делают в "папке" cgi-bin ?

Вебразработчика, каждый из которых использует свой индивидуальный логин и пароль.

> Ты пойми, совершенно иной подход к проблемам, сами идеи другие, _менталитет_ другой!

Да при чем здесь менталитет, когда приводятся в пример технические недостатки, приводящие к громоздкости и корявости решений...

> Я и сейчас предлагаю.

А вы лично гарантируете беспроблемность перехода, наличие всего вышеперечисленного софта и драйверов под любые десктопные девайсы, и наличие 100% совместимости с форматами AutoCAD, MS Access/Word/Excel и плагинами MSO и виртуальными принтерами(дрова Win-only) для печати клякс на платежке типа Biprint, банк предлагает только Win32-клиент, вы гарантируете его 100% работоспособность под wine и поддержу запуска под wine саппортами? А если не можете гарантировать и никто другой не может этого гарантировать и наличия софта или его полноценной совместимой альтернативы, то кому это нужно? Куда саппорт банка, франчайзи, грандсметчики или еше кто пошлют с проблемами вайна объяснить? Или можете предложить 1С для Linux(про анонс сервера уже в курсе, как и про неподдерживаемое 1С wine@ettercap), альтернативу для составления строительных смет, конфигуратор для NEAX7000, линуксовый софт для управления котельной, сертифицированный телефонный биллинг под Linux? Если нет, то зачем нам свободная ОС без софта - чтобы молиться на нее чтоли? Даже если бы и этот софт и существовал под Linux, то явно был бы закрытым коммерческим - снова подсадка, теже яйца, вид в профиль.

> Но не надо утверждать, что на ней хорошо и всем предлагать бесплатную дозу.

Я не агитировал за подсадку, а пояснил с аргументами, что не все так просто, почему свободный софт не подходит и что не только бесплатного свободного софта под многие задачи не существует, но и отсутвует даже закрытый софт под свободные ОС.

> Но обычно, нарки без перспектив осознавшие к чему они пришли как минимум стараются рассказать об этом, чтобы их путь не повторили те, у кого шанс ещё есть.

Пока не будет софта и дров и полностью открытого софта под любую задачу шансов не повторить путь будет мало - будет игла закрытого софта и дров на открытой ОС и ничего не изменится?

> См выше, вы не просто его используете, а как террористы себя ведёте :) Или проще - как дети, влезли в дерьмо - нет чтоб других предупредить, вам хочется, чтобы все в него попали

Так это вы ведете себя как ребенок-фанат, впаривая мне свободный софт, который не годится на десктоп(кроме десктопа *nix кодера, телеком-админа и *nix-фаната) ни под некоторые серверные задачи, и абсолютно не задумываетесь как на нем будут работать без необходимого софта и нормальной официальной поддержки десктопного железа.

> тогда вам будет не так обидно.

А на что обижаться? На то, что нет проблем с софтом, дровами и официальной поддержкой? Или обижаться на то, что с софтом все также, как и в реальной жизни, где нет свободы? Нет свободы потому что нельзя жить в обществе и не сидеть на игле/в клетке - быть независимым от законодателства и не быть посаженным, быть независимым от выплаты налогов, нельзя быть свободным от необходимости работать, нельзя быть независимым от своего начальства или клиентов/акционеров/клиентов, нельзя быть независимым от норм общественного поведения и не быть уволенным или отправленным в дурку, нельзя быть независимым от выплат за жилье, от выплат по кредитам, от затрат на продукты, одежду, обувь, бензин, телефон. На самом деле практически все сидят в своей "золотой клетке" и не рыпаются, но есть и абсолютно свободные люди, это бомжы.

>>Да, пожалуйста, свяжитесь с Европейским Космическим Агенством, заплатите пару миллиардов и уверен, что это вам организуют. Бесплатный круиз на Марс, чтобы ощутить свободу и слезть с иглы обыденности я вам не предлагал.

> Так значит свободный софт всё же лучше! Билл в космос не слетал, а Марк - слетал. Вот и всё.

Эээ... Логика просто супер, на уровне блондиночной. ;)))