Am Donnerstag, 28. April 2005 01:03 schrieb Thomas Hertweck:
Jan Ritzerfeld wrote:
Zumindest der resmgr ist IMHO kein Automatismus sondern eine zusätzliche Abstraktionsschicht über den normalen Gruppen/Nutzer-Berechtigungen.
So kann man es auffassen. Im Prinzip faengt halt der resmgr alle open Befehle ab und schaut, ob dem User der Zugriff erlaubt werden soll.
So wie ich das verstanden hab ginge das nur mit LD_PRELOAD, macht SL das so? Bei cdrecord lese ich z. B. folgendes: | cdrecord: Warning: using inofficial libscg transport code version | (okir@suse.de-scsi-linux-sg.c-1.83-resmgr-patch '@(#)scsi-linux-sg.c 1.83 | 04/05/20 Copyright1997 J. Schilling').
Fuer einen generellen Sicherheitsgewinn halte ich das nicht, da der resmgr selbst mit vollen Root-Rechten laufen muss (resmgr ist mehr als ein paar Programme patchen, wie Du angedeutet hast - theoretisch muesste resmgr sogar ohne Patches von Programmen auskommen).
Einen direkten Sicherheitsgewinn sehe ich auf die Schnelle auch nicht, außer vielleicht bei USB-Devices o. ä., jedenfalls scheint man da mit dem resmgr feingranularer Rechte verteilen zu können (z. B. auf Basis der class).
Ich sehe es als Automatismus.
Benutzer/Gruppen-Rechte sind statisch. pam_devperm ist schon etwas dynamischer aber versagt bei Geräten, die erst nachher eingebunden werden. Alles was dynamisch auf Änderungen reagiert muß irgendwie ein Automatismus sein aber deswegen noch lange nicht zwangsläufig schlecht.
Aus Vendor-Sicht macht so ein resmgr vielleicht Sinn, aus meiner persoenlichen Sicht nicht (es ist sicher noch besser, als alle Programme auf SUID zu setzen, wie man es auch manchmal antrifft).
Allerdings.
Ich bevorzuge die Alternative, User in die richtigen Gruppen zu stecken und den Zugriff auf Devices ueber Gruppen zu regeln. Aber das geht natuerlich nur, wenn derjenige, der als Administrator auftritt, ein bissl Ahnung hat, was er tut...
Also ich finde die Argumentation, warum das nicht praktikabel ist, in der Beschreibung vom resmgr eigentlich sehr einleuchtend.
Also fuer die SuSE-Zielgruppe der Windows-Umsteiger und Einsteiger ist das weniger geeignet.
Ich habe Windows nie wirklich benutzt und bin auch kein Einsteiger mehr, trotzdem finde ich Auto-Login nicht böse und sehe ich es auch nicht ein, händisch irgendwelche Berechtigungen und Gruppenzugehörigkeiten zu ändern damit ich brennen oder den USB-Stick nutzen kann.
Achja, und mit der NVidia-Treiber-Installation per YOU habe ich schon seit "Ewigkeiten" keine Probleme. :)
Schoen fuer Dich :) Das letzte Mal, als ich es versucht habe (ich gebe den Dingen ja immer mal wieder eine Chance), hat YOU ewig gebraucht, um etwas herunterzuladen, dann wurde etwas installiert und letztendlich hat sich YOU beendet. Ich habe X daraufhin beendet und, aeh, ja, dummerweise war dann kein NVIDIA-Modul da... Also von Hand den NVIDIA-Treiber installiert, und da ging es ohne Probleme.
Das kann ich bei Rechnern von normalen Menschen nicht machen, die klicken dann auf Update, installieren dabei einen neuen Kernel und schon kann ich vorbeikommen und den NVidia-Treiber von Hand installieren: Absolut impraktikabel.
Vielleicht probiere ich es naechstes Jahr mal wieder mit der Installation des NVIDIA-Treibers ueber YOU - irgendwann koennte es ja mal klappen bei mir :-) Oder ich mache vielleicht etwas falsch...
Letzteres wohl eher nicht, aber ich kenne das, wenn ich mich an einen Windows-Rechner setze stürzt der meist recht schnell ab, SUSE mag dich halt nicht mehr. :-D Gruß, Jan -- Love stinks.