Camaleón wrote:
El 12/05/08, Ricardo escribió:
Ricardo, el usuario común del que hablas puede ser la misma persona que el usuario root. Yo no trabajo como usuario root, en este momento escribo como usuario "común".
Aún así, considero factible el acceso a traceroute por parte de los usuarios, no veo qué peligrosidad hay en que lo ejecuten. En todo caso, dentro de /usr/sbin hay programas más comprometidos que pueden ser ejecutados por el "usuario común"...
Además, creo que es un error fomentar los usuarios "dummy", es decir, usuarios que sólo pican texto y no saben ni qué ni dónde ni por qué. Cuando hay un problema, sencillo, no saben cómo reaccionar y el(los) administrador(es) puede(n) no estar disponible(s).
¿Qué haces entonces con los usuarios "dummy"? ¿Se para todo el trabajo porque no saben dónde están las cosas ni saben qué hacer? :-/
Que no es de seguridad, es de jerarquía de directorios!!! y lo pusieron en el directorio /sbin, para que tú puedas restringir el acceso a una herramienta que no le compete, que él tiene su hoja de cálculo y su cliente de correo para trabajar. (definición de usuario dummy <:) ) Imagínate tooodos los ejecutables en un mismo directorio, asignando permisos a cada uno, de acuerdo a la jerarquía de usuario.. naaaa y si puede acceder a /sbin (porque tú lo has definido así), ya deja de ser usuario, pasa a ser root y por ende a administrar el sistema (cambió de jerarquia porque tú lo quisiste)
¿Cómo que no? ¿Y si estás dando soporte remoto vía telefónica y no tienes acceso al equipo del usuario? Tienen que saber (y poder) ejecutar algunos comandos de diagnóstico... y te aseguro que "cantar" las rutas que son "un poco largas" por teléfono no es nada sencillo
:-)
No, conque haga ping, para tí, ya es suficiente, de vuelta, tú ya conoces de memoria cual es la ruta a cualquier lugar.
*** Ring, ringggg... beep, beeeep.
(admin) ... a ver, abre un terminal (dummy) ¿Un qué? (admin) el icono de la pantalla negra que tienes... (dummy) yo no tengo ese icono (admin) Pulsa sobre el camaleón (dummy) ¿Qué has dicho de un camión? (admin) no, el ca-ma-le-ón (dummy) Ah, sí, ya. "Eso verde". Vale. Ya está (admin) Vete a sistema / terminal / Konsole (dummy) Espera, espera... sis...te...ma ¿qué más? (admin) 8-)
(dos horas más tarde...)
(admin_echo polvo) Y ahora, escribe "/usr/sbin/traceroute..." (dummy) ¿dónde (y qué es) una barra "slash"?, ji, ji... qué cosas dices... (admin) es la tecla que tienes encima del nº 8 del teclado numérico.... (dummy) ah, ya está... me dice "comanche not fund" (admin_saliendo_del_sopor) ¿lo quéeee? (dummy) Pues eso, que me dice que "no ha fundido el comanche no-sé-qué del tracerut" (admin) Vale, mañana me paso por tu oficina para ver qué te pasa... ***
:-P
Valioso, entonces, ése es un usuario al que no le corresponde acceder siquiera al botón de apagado, xq si puede esperar al otro día...jejeje, imagínate que pueda ejecutar alguna otra aplicación de la misma jerarquía?
No estoy de acuerdo. El usuario debe ser "mínimamente" responsable de su equipo. Tanto si está trabajando en una empresa o es un usuario doméstico tiene que conocer la herramienta que tiene entre manos.
Ni se te ocurra,no es válido eso (a mi entender, no lo tomes a mal) eso no vale para ningún sistema operativo. El tipo se tiene que sentar y ver que todo le funcione, si algo no le anda, ahí vas tú con tu capa y tu sable..
Vuelvo a lo que decía al principio de este correo: yo soy root y yo soy usuario. No existe un entorno definido perfecto donde cada usuario tiene su rol predeterminado (root = root, usuario = usuario).
Excelente e inválido al mismo tiempo, la perfección no existe, y no se puede solicitar. Y me suena similar a una instalación standard de debian (y derivados) en el que root no puede iniciar en modo gráfico!
Como administrador, si quieres impedir a un usuario ejecutar un programa concreto, no lo haces "ocultándole" la ruta al binario porque eso no es garantía de nada... salvo de problemas.
Para eso, están las definiciones de seguridad de directorios.
Saludos,
--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org