El 12/05/08, Ricardo escribió:
que no! :) a ver... mi mente está puesta en personal corporativo: el usuario común, necesita hacer ping, pero no fping (por ejemplo), no route, no SuSEconfig, no dhclient, etc.. eso es para los adminitradores El usuario común (en adelante "usuario") no necesita saber la ruta a un destino, solamente necesita llegar.
Ricardo, el usuario común del que hablas puede ser la misma persona que el usuario root. Yo no trabajo como usuario root, en este momento escribo como usuario "común". Aún así, considero factible el acceso a traceroute por parte de los usuarios, no veo qué peligrosidad hay en que lo ejecuten. En todo caso, dentro de /usr/sbin hay programas más comprometidos que pueden ser ejecutados por el "usuario común"... Además, creo que es un error fomentar los usuarios "dummy", es decir, usuarios que sólo pican texto y no saben ni qué ni dónde ni por qué. Cuando hay un problema, sencillo, no saben cómo reaccionar y el(los) administrador(es) puede(n) no estar disponible(s). ¿Qué haces entonces con los usuarios "dummy"? ¿Se para todo el trabajo porque no saben dónde están las cosas ni saben qué hacer? :-/
xq yo, tú, y quienes más sean administradores en un dominio, no le decimos a un usuario, "haz un traceroute a google.com", no, no lo hacemos, ya sabemos cómo armamos la red, tenemos en mapa de la red en la cabeza, casi que dormimos con ella.. Con decirle haz ping a google... podemos determinar si tiene o no el cable de la ethernet desconectado, no necesitamos saber si su definición de gateway default está mal, porque no puede estarlo.
¿Cómo que no? ¿Y si estás dando soporte remoto vía telefónica y no tienes acceso al equipo del usuario? Tienen que saber (y poder) ejecutar algunos comandos de diagnóstico... y te aseguro que "cantar" las rutas que son "un poco largas" por teléfono no es nada sencillo
:-)
*** Ring, ringggg... beep, beeeep. (admin) ... a ver, abre un terminal (dummy) ¿Un qué? (admin) el icono de la pantalla negra que tienes... (dummy) yo no tengo ese icono (admin) Pulsa sobre el camaleón (dummy) ¿Qué has dicho de un camión? (admin) no, el ca-ma-le-ón (dummy) Ah, sí, ya. "Eso verde". Vale. Ya está (admin) Vete a sistema / terminal / Konsole (dummy) Espera, espera... sis...te...ma ¿qué más? (admin) 8-) (dos horas más tarde...) (admin_echo polvo) Y ahora, escribe "/usr/sbin/traceroute..." (dummy) ¿dónde (y qué es) una barra "slash"?, ji, ji... qué cosas dices... (admin) es la tecla que tienes encima del nº 8 del teclado numérico.... (dummy) ah, ya está... me dice "comanche not fund" (admin_saliendo_del_sopor) ¿lo quéeee? (dummy) Pues eso, que me dice que "no ha fundido el comanche no-sé-qué del tracerut" (admin) Vale, mañana me paso por tu oficina para ver qué te pasa... *** :-P
Exacto! ése es el punto de porqué está en /sbin, porque tú tienes que determinar el porqué con conectas y pasar el ticket a tu isp, en cambio, el usuario, no, el no tiene que enterarse, no le incumbe, ese es tú trabajo..
No estoy de acuerdo. El usuario debe ser "mínimamente" responsable de su equipo. Tanto si está trabajando en una empresa o es un usuario doméstico tiene que conocer la herramienta que tiene entre manos.
Por eso, no es un tema de seguridad (es un cuestion de jerarquía de directorios -por eso hablamos administración y uso común)* *y es complicado, porque así lo armaron, así nació, y tú, como root de la red, le debes negar a usuario, acceder a ese directorio, si lo quieres empapar de seguridad al asunto.
Vuelvo a lo que decía al principio de este correo: yo soy root y yo soy usuario. No existe un entorno definido perfecto donde cada usuario tiene su rol predeterminado (root = root, usuario = usuario). Como administrador, si quieres impedir a un usuario ejecutar un programa concreto, no lo haces "ocultándole" la ruta al binario porque eso no es garantía de nada... salvo de problemas. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org