LINUX.ORG.RU

Линус Торвальдс раскритиковал постоянные запросы root-пароля в пользовательских дистрибутивах

 , ,


0

4

Линус Торвальдс поделился с общественностью горьким опытом использования дистрибутива OpenSUSE на Macbook Air. По всей видимости, терпение Линуса лопнуло, и он больше не будет использовать этот дистрибутив.

Процесс установки не вызвал серьезных затруднений, однако последующие несколько недель Линус потратил на убеждение разработчиков Novell в порочности практики запроса пароля root при выполнении таких элементарных действий как:

  • изменение часового пояса,
  • добавление принтера,
  • создание нового беспроводного соединения.

В итоге проблема с созданием беспроводного соединения была решена: теперь требуется лишь ввести пароль текущего пользователя. Но добиться консенсуса с часовыми поясами так и не удалось.

Моя дочь позвонила мне из школы, потому что она не может использовать для печати школьный принтер - для этого ей требуется пароль администратора.

Тот идиот, который называет «хорошей безопасностью» требование пароля root для выполнения повседневных задач, душевно болен.

А OpenSUSE - это по сути однопользовательская система.

Так вот просьба: если вы разрабатываете систему безопасности в дистрибутиве, и думаете, что мои дети (замените «мои дети» на «продавцы и кассиры», если вы считаете, что основными клиентами являются бизнесмены и предприятия) должны вводить root-пароль для доступа к беспроводной сети, распечатки листика или изменения даты/времени, то пожалуйста просто убейте себя сейчас. И мир станет лучше.

Теперь мне осталось найти новый дистрибутив для моего Macbook Air...

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: Klymedy (всего исправлений: 10)
Ответ на: комментарий от Lennox

КДЕ он уже об$ирал, а в Генту он вообще не полезет. Скоро он обещался потестить наконец Debian, чувствую ничем хорошим это не закончится.

Я тоже в свое время обсирал КЕДы. Они сравнительно недавно стали юзабельны. А он - попробует дебиан, остальное и поймет, что путь то один. Все тут будем.

LightDiver ★★★★★
()

Капец некошерному дистру!

a1batross ★★★★★
()
Ответ на: комментарий от oganicumak

Я щас исправил, должно быть ок.

shahid ★★★★★
() автор топика
Ответ на: комментарий от rbt13

скоро он поймёт что десктопные дистрибутивы не нужны и правильно

ему лавры Билли не дают покоя.

Bad_ptr ★★★★★
()
Ответ на: комментарий от shahid

А исходный вопрос был «почему комьютерный гик 80-уровня не пользуется макосью?».

сорри, не догнал. вообще, линух на макбуке — странновато. а для его дочурки макось была бы самое то

Johann
()
Ответ на: комментарий от Nxx

лол. пустой пароль для прав рута - это, конечно, замечательная идея и огромное достижение убунты.

Читайте внимательно: не для рута, а для брелока на всякие там асечки.

vilisvir ★★★★★
()
Ответ на: комментарий от cipher

Запросто и без всяких паролей от рута или пользователя.

galanthus
()
Ответ на: комментарий от vilisvir

А, ну это всегда можно было и можно сейчас. Тут ничего не изменилось.

Nxx ★★★★★
()
Ответ на: ЧЯДНТ? от SDSWanderer

> Вот честно говоря не пойму о чем он, в убунточке по дефолту спрашивает пароль текущего пользователя (ну ясен пень он должен быть с sudoers).

Объясню тебе, чтобы не пришлось пробовать разные дистрибутивы Linux. Во всех дистрибутивах как минимум два пользователя: пользователь и администратор, администратор это root. В твоём дистрибутиве по-умолчанию как минимум один пользователь, и для установки программ необходимо вводить свой пароль. И насколько я знаю, только этот дистрибутив так настроен. Надеюсь, всё объяснил.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от Johann

сорри, не догнал. вообще, линух на макбуке — странновато. а для его дочурки макось была бы самое то

Странно, это когда окно висит на яблоне. А когда на яблоне висит пингвин - значит ему так хочется.

LightDiver ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Рут есть во всех дистрах, и убунта тут ничем не отличается. Просто на экране входа в систему его спрятали, что никак на безопасность не влияет.

Nxx ★★★★★
()
Ответ на: комментарий от Nxx

Ты в курсе, что к компьютеру можно подключиться по сети и что в 99% случаев в свежеустановленной системе что-нибудь да смотрить в сеть открытым портом.

Напрашивается очевидное решение - локальный юзер вошедший под своим логином-паролем имеет все права рута без всяких подтверждений и шаманств а вход по сети по дефолту запрещён.

anonymous
()
Ответ на: комментарий от ymn

ниасилил один из самых юзер-френдли дистров...

Он на нём много лет, и это не единственное, что его раздражало. Идеальных дистрибутивов ОС не бывает! Относится как к Linux, так и к DOS, BSD и других систем.

ZenitharChampion ★★★★★
()

Линус потратил на убеждение разработчиков Novell в порочности практики запроса пароля root при выполнении таких элементарных действий как:

Его завербовал Боллмер.

partyzan ★★★
()
Ответ на: комментарий от ZenitharChampion

Он на нём много лет,

Что-что? Это он на федоре много лет, а сусе установил в прошлом году в начале осени.

Nxx ★★★★★
()

Теперь мне осталось найти новый дистрибутив для моего Macbook Air

так MacOS X ведь. =)

insider ★★★
()
Ответ на: комментарий от Nxx

> Рут есть во всех дистрах, и убунта тут ничем не отличается. Просто на экране входа в систему его спрятали, что никак на безопасность не влияет.

Странно: когда убунту пробовал, у меня каталог /root в системе отсутствовал. А после команды gksudo nautilus создался пустой.

ZenitharChampion ★★★★★
()

Торвальдс, как всегда в общем-то, совершенно прав. С другой стороны, в Linux нет системы RBAC и по сути его вина в том числе в том, что действительно непонятно, а как обойти такие проблемы, если ничего, кроме sudo (а его использование приводит к ничуть не лучшему результату!), у нас нет - вот это, вообще говоря, большой вопрос. Группы конечно есть и каждому пользователю в том же Ubuntu их назначается целый ворох, вот только не всё можно разрулить одними группами, хотя бы просто потому, что эти группы правильнее было бы назвать «группами доступа к файловой системе» - те же приложения чихать на них хотели, в основном у приложений (того же CUPS'а) либо убогий RBAC, либо слишком сложный - но это всегда велосипеды... а чаще всего никаких ролей вообще нет, если уж говорить честно и откровенно.
То есть я веду к тому, что проблема отнюдь не в дистрибутиве, а в том числе и в самом ядре.

DRVTiny ★★★★★
()
Ответ на: комментарий от Nxx

>> Он на нём много лет,

Что-что? Это он на федоре много лет, а сусе установил в прошлом году в начале осени.

Ещё до этого у Линуса был большой опыт работы в SuSE.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от anonymous

Напрашивается очевидное решение - локальный юзер вошедший под своим логином-паролем имеет все права рута без всяких подтверждений и шаманств

Очевидно, такой вариант Линуса не устраивает, так как он что-то скрывает от дочки.

Nxx ★★★★★
()
Ответ на: комментарий от Nxx

Просто на экране входа в систему его спрятали, что никак на безопасность не влияет.

пользователь root в Ubuntu отключен, т.е. в /etc/shadow на месте пароля у него !, так что Вы заблуждаетесь по поводу Ubuntu.

insider ★★★
()
Ответ на: комментарий от DRVTiny

вот только не всё можно разрулить одними группами, хотя бы просто потому, что эти группы правильнее было бы назвать «группами доступа к файловой системе» - те же приложения чихать на них хотели, в основном у приложений (того же CUPS'а) либо убогий RBAC, либо слишком сложный - но это всегда велосипеды... а чаще всего никаких ролей вообще нет, если уж говорить честно и откровенно.

Это следствие идеологии «все есть файл». Никаких прав кроме прав доступа к файлам в юниксе нет. Чтобы сделать нормальное управление правами пользователей и правами на определенные действия, нужно переходить на объектно-ориентированную парадигму, а это невозможно в рамках юникса.

Nxx ★★★★★
()
Ответ на: комментарий от insider

пользователь root в Ubuntu отключен, т.е. в /etc/shadow на месте пароля у него !, так что Вы заблуждаетесь по поводу Ubuntu.

если пароля нет, то это не значит, что такого пользователя нет.

Nxx ★★★★★
()
Ответ на: комментарий от Nxx

> Рут есть во всех дистрах

А в Fedora как, не знаешь, требуют ли пароли для Xen, смены часового пояса и подключения принтеров?

Щас проверил. Действительно, для добавления принтера просят пароль. Я думал, KPrinter сам добавит.

ZenitharChampion ★★★★★
()
Ответ на: Хорошо ему..... от kawsoft

Бать тут какая то байда, я к принтеру подключится не могу, какой то пассворд просит...

...да и еще мне сказали, что на нашем ноутбуке какой-то линукс стоит, и надо его на виндовс-7 заменить, чтобы было все хорошо и удобно.

anonymous
()
Ответ на: комментарий от Lennox

возможно это однобокость его постов объяснима - есть такие люди, которые радуются втихую, но когда их выведут из себя, они готовы всему миру рассказать о проблеме, у них возникшей. Возможно, Линус - один из таких людей. Это не хорошо и не плохо. Просто он такой. Anyway, я(да и наверняка 99,9% лоровцев) не можем его осуждать - как можно осуждать человека, с которым не знаком? Посты в «ЖЖ» - не показатель...

Pinkbyte ★★★★★
()
Ответ на: комментарий от vilisvir

Гуглопереводчик критикует чужие переводы? Нагленько, нагленько.

И смени аватарку, смотреть противно.

oganicumak
()

Ждем «Линус Торвальдс переходит на Agilia Linux, мейнтейнеры отмечают запоем»

AiFiLTr0 ★★★★★
()
Ответ на: комментарий от Nxx

Таки тема порнографических материалов на НЖМД у Линуса не оставляет тебя в покое. Удивительно, что в твою, как мне кажется, неглупую голову не приходит простая мысль о том, что давать ребёнку пароль администратора просто небезопасно.

AnimusPEXUS
()
Ответ на: комментарий от ZenitharChampion

Странно: когда убунту пробовал, у меня каталог /root в системе отсутствовал. А после команды gksudo nautilus создался пустой.

Ничего странного. Пользователь в системе по-умолчанию отключён. Вместо него есть sudo.

vilisvir ★★★★★
()
Ответ на: комментарий от AnimusPEXUS

Удивительно, что в твою, как мне кажется, неглупую голову не приходит простая мысль о том, что давать ребёнку пароль администратора просто небезопасно.

У него возростная солидарность просто.

zloelamo ★★★★
()
Ответ на: комментарий от LongLiveUbuntu

>> Теперь мне осталось найти новый дистрибутив для моего Macbook Air...

Ubuntu, Xubuntu

Это плохой выбор.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от vilisvir

Пользователь в системе по-умолчанию отключён. Вместо него есть sudo.

Знатный перл про «отключенного пользователя root». Еще ращз для глупеньких: если отключен логин из-под рута в менеджере сеансов, это не значит, что отключен пользователь root. Поинстересуйся как-нибудь, какой пользователь является владельцем большинства файлов и каталогов в твоей системе.

Nxx ★★★★★
()
Ответ на: комментарий от tekilla

> мне одному в голову пришла мысль зачем на макбук ставить линукс?

Я Mac OS не пробовал и говорить о нём не могу, а Linux считаю удобнее Windows, пользуюсь KDE 3 и приложениями в комплекте дистрибутива. Уверен, многие считают Linux удобнее Mac OS.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от ZenitharChampion

У любого пользователя до первого логина хомяк пустой, и что?

Nxx ★★★★★
()
Ответ на: комментарий от ZenitharChampion

при чем здесь домашний каталог рута и наличие самого пользователя root?

Pinkbyte ★★★★★
()
Ответ на: комментарий от Nxx

что такое «конценцус»?

Потеря терпения при использовании линкса, видимо

darkshvein ☆☆
()
Ответ на: комментарий от DRVTiny

поддерживаю. SELinux на десктопе - это АДъ, даже с гуёвыми настройками красношапки. Grsecurity гуя не имеет, насколько я знаю. И что у нас остается? AppArmor? Как с ним дела обстоят - вообще не представляю - не щупал...

Pinkbyte ★★★★★
()
Ответ на: комментарий от tekilla

мне одному в голову пришла мысль зачем на макбук ставить линукс?

Нет, тут и без тебя полно тех, кто не понимает простых вещей. Так что не волнуйся.

bloodredfrog ★★
()

Это всё из-за того, что современный Линукс уходит от изначальных принципов Unix-подобных систем. Права пользователя должны ограничиваться группами, в которых он состоит. Если юзер состоит в определённой группе, то он может спокойно печатать на принтере, иначе у него спрашивают пароль рута. Если он состоит в группе, разрешающей доступ к съёмным носителям, он может их монтировать и читать из точек монтирования, иначе — пароль рута. Такой подход обеспечил бы и удобство, и гибкость ограничения прав доступа, потому что добавить или удалить пользователя из группы легко. А на практике мы видим, что все действия совершаются через D-Bus, права доступа к которому ограничиваются через PolicyKit, дефолтные настройки которого разрешают делать всё пользователю, сидящему за текущим VT, что обеспечено через ConsoleKit (а в openSUSE, видимо, всё ещё сложнее. Во времена hal всё было почти как надо: юзер не в группе plugdev — он не монтирует флешки, добавляем его туда — он может их монтировать. Зачем сейчас всё портят, непонятно.

gentoo_root ★★★★★
()
Ответ на: комментарий от Nxx

Чтобы сделать нормальное управление правами пользователей и правами на определенные действия, нужно переходить на объектно-ориентированную парадигму, а это невозможно в рамках юникса.

man ConsoleKit/PolicyKit

Хотя его текущая реализация несколько хренова, на мой взгляд

Pinkbyte ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.