Denis Feklushkin -> debian-russian@lists.debian.org @ Thu, 29 Oct 2009 15:31:28 +0700:
DF> Давайте так спрошу: DF> Сейчас у нас в дистрибутиве существует возможность заводить DF> не системных а "живых" локальных пользователей. с фамилией, именем, DF> шеллом и почтовым ящиком. DF> При этом каждый присутствующий знает что фактически заведение такого DF> пользователя может означать полную невозможность работать на этой DF> машине - пользователь может очень здорово портить жизнь другим расходуя DF> ресурсы. Даже общий список процессов всех пользователей в некотором DF> роде дыра, через которую утекает информация, хотя напрямую она на DF> безопасность не должна влиять (кто передаёт пароли в командной строке DF> тот сам себе буратино), тем не менее всегда будет видно что DF> пользователь uid=123 увлекается порнушкой а uid=435 подозрительно часто DF> криптует и стеганографирует в mp3 какие-то чертежи Некоторые присутствующие знают, что все вышеизложенное, вообще говоря, неправда. По крайней мере в Linux. DF> Вопрос: зачем оно так сделано? Просто исторически сложилось и со DF> временем эта возможность отомрёт в принципе? Для работы в среде агрессивных локальных пользователей надо применять не UNIX-like систему, а какой-нибудь недобрый мейнфрейм от IBM. С системой защиты данных разных пользователей, за взлом которой они предлагаю лимон баксов - да так пока никому и не заплатили... Оно, правда, стоит как самолет, и удобство работы там, подозреваю, так себе. Зато безопасно. Там, кстати, идея как раз "каждому пользователю по среде, неотличимой от виртуальной машины". DF> В идеале хотелось бы иметь возможность пользователю иметь DF> возможность создать несколько "окружений", которые бы не пересекались DF> так же как сейчас не пересекаются разные запущеные системы в openvz DF> Неужели реализовать такое (и прописать в стандартах) сложнее чем вести DF> одновременно кучу патченых ядер типа той же openvz и uml? Жизнеспособные стандартны обычно начинаются с реализаций. И на достандартном этапе реализаций обычно много разных, а стандартом становится та, которая получилась общепринятой. Я подозреваю, что следует рассматривать нынешнюю ситуацию как "достандартный этап". Причем начальный его период. Когда мысль в головы уже пришла, но еще не обкаталась до состояния, когда пора думать о стандартизации. -- Секретный ключ, известный более чем одной персоне, называется публичным. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
