LINUX.ORG.RU

Ubuntu линукс на компьютерах Dell. Подведём итоги...


0

0

John Hull, возглавляющий Linux Engineering team в компании Dell, рассказывает в интервью о некоторых промежуточных итогах своей работы.

Из интересных моментов:

* продажи компьютеров с линукс на борту оправдали ожидания (хотя Джон не называет цифр в согласии с политикой компании). В то же время, он не советует надеяться в ближайшем будущем на рост объемов продаж даже близко до такого уровня как для windows-машин на сегодняшний день.

* в планы Dell входит разработка некоторых своих пользовательских приложений для удовлетворения запросов клиентов.

* компания довольно консервативно подходит к географии предложения компьютеров с линукс, и потому не планирует расширять список стран, пока спрос не достигнет определенного уровня

* список предлагаемых дистрибутивов так же пока не планируется расширять

и много другого интересного вы можете прочитать по ссылке.

>>> Подробности

Ответ на: комментарий от AnViar

> древняя, не значит плохая. концепцая безопасности простая, а значит надежная и понятная. а то, что она все это время без изменений говорит лишь о том, что это оправдавшая себя система.

Кривая и убогая. Нищебродская, годящаяся только для крайне ограниченного круга примитивных задач. Используется только по инерции. "Так сложилось исторически". Массовое сознание отравлено.

Вот можно был б влепить в ядро патч, насильно устанавливающий umask в 000 ... (размечтался)... И все задачи разделения полномочий разруливать уже как белые люди, ацээлями.

> Если исключить selinux =)

Угу. Он стандарт? Он везде? Отож.

Mess
()
Ответ на: комментарий от Darkman

>> Угу. Он стандарт? Он везде? Отож.

>Что "отож" ? Он есть в любом вменяемом дистре "искаропки". Надо - ставь

Во фряхе - нет =). Поэтому и не стандарт.

Absurd ★★★
()
Ответ на: комментарий от Darkman

> Что "отож" ? Он есть в любом вменяемом дистре "искаропки". Надо - ставь.

То и отож. Есть. Но не стоит у всех и по дефолту. Ты решишься на своей машине прописать в профиль umsak="000" и ВСЕМ файлам дать атрибуты 666 (777)? Порекомендуешь такое кому бы то ни было? Нет же. Этот ваш селинух не используется практически. Не заменил девять бит. Девять бит остаются, живут и здравствуют, корявками своими отравляя жизнь.

Mess
()
Ответ на: комментарий от Absurd

> Во фряхе - нет =). Поэтому и не стандарт

Во фряхе есть свои ацээли. Но в том и дело - не стандарт...

Mess
()
Ответ на: комментарий от Mess

> Но не стоит у всех и по дефолту.

В RHEL - по дефолту стоит.

>Этот ваш селинух не используется практически. Не заменил девять бит. Девять бит остаются, живут и здравствуют, корявками своими отравляя жизнь.

Кому не надо - не пользуют, кому надо - пользуют. На десктопе главное нормальный фаервол & браузер иметь. Можно зашифровать раздел, если конкурентов по бизнесу боишься. Это пионерия орет "дайте нам Security выше крыши и еще, еще". Те кто на режимных предприятиях серьезно имеет с (Секюрити) ней дело, тему сечет и предпочитает по возможности работать без нее, в разумных пределах конечно.

Absurd ★★★
()
Ответ на: комментарий от Mess

> Вот можно был б влепить в ядро патч, насильно устанавливающий umask в 000 ... (размечтался)... И все задачи разделения полномочий разруливать уже как белые люди, ацээлями.

Вот Вы тут кричите про отравленное сознание, а не замечаете, что Ваше сознание отравлено реализацией разграничения прав пользователей в windows nt. Кто Вам сказал, что там всё сделано идеально и по тру-пути? На лекции в университете, где представители микрософт рассказывали про коренные отличия windows от unix?

gaa ★★
()
Ответ на: комментарий от Absurd

> В RHEL - по дефолту стоит.

Частный случай.

> Кому не надо - не пользуют, кому надо - пользуют

Многие и не знают. И/или не умеют. Многим лень. Вот смотри - ещё одной проблемой линукса (как и юникса вообще) является проблема рута. То, что рут - бог в системе, может всё и нет от него защиты, нет над ним контроля. Берём убунту. Изящным движением эта проблема практически решена - sudo везде, руту вход запрещён. Психологический блок в массовом сознании преодолён, дальше уже можно оттачивать систему контроля над админом в системе.

Вот точно так же б сделать с девятью битами - по умолчанию ВСЕ файлы имеют атрибут 666 (777 для исполнимых), umask равен нулю. ВСЯ безопастность по людски, на вменяемых и удобных в использовании ACL. Слабо? Слабо...

Mess
()
Ответ на: комментарий от gaa

> Кто Вам сказал, что там всё сделано идеально и по тру-пути?

В этом моё отличие от линуксоида. Я не считаю, что есть на свете ДВЕ системы - рульный линух (винда) и мастадйная винда (линух).

Мой сознание отравлено было нетварью. Вменяемые права на всё. Админ в системе бог, но он не властен над аудитором. Аудитор знает всё обо всех, но не властен ни над кем. Пароли у них разные. В винде сделано хуже. Но всё равно - ACL гораздо более рульный инструмент, чем убогие девять бит. ;) Тем более, что администратор в винде не полновластен, есть вещи, которые может сделать только system. И, как ни крутись, всё, что в линуксе делается в расширение системы безопастности, делается в ту же сторону.

Mess
()
Ответ на: комментарий от Mess

> Мой сознание отравлено было нетварью.

вот откуда ноги растут!

> Вменяемые права на всё. Админ в системе бог, но он не властен над аудитором. Аудитор знает всё обо всех, но не властен ни над кем. Пароли у них разные. В винде сделано хуже.

звучит сложновато... ошибок и дыр из-за таких сложностей не появлялось?

> Но всё равно - ACL гораздо более рульный инструмент, чем убогие девять бит. ;)

Про posix acl знаете?

> Тем более, что администратор в винде не полновластен, есть вещи, которые может сделать только system. И, как ни крутись, всё, что в линуксе делается в расширение системы безопастности, делается в ту же сторону.

В какую "ту же сторону"? Все дороги так или иначе ведут в Рим :)

gaa ★★
()
Ответ на: комментарий от Mess

> То и отож. Есть. Но не стоит у всех и по дефолту. Ты решишься на своей машине прописать в профиль umsak="000" и ВСЕМ файлам дать атрибуты 666 (777)?

Ты виндовую идеологию где по дефолту всем всё разрешено сюда не тяни. То-то я смотрю народ массово прописывает ACL на всё и вся, и бедные вирусы отваливаются не смог записаться в системные файлы ? Не смеши.

> Этот ваш селинух не используется практически.

Нудаконечно. (C) Кому надо - очень даже используют.

> Девять бит остаются, живут и здравствуют, корявками своими отравляя жизнь.

Ну и пусть будут. Мне делать нечего, как ACL на всё и вся прописывать.

Darkman ★★★
()
Ответ на: комментарий от Mess

>И, как ни крутись, всё, что в линуксе делается в расширение системы безопастности, делается в ту же сторону.

и в 99% случаях отключается, ибо 9 бит проще не бывает и в 99% случаях устраивает полностью.

vtVitus ★★★★★
()
Ответ на: комментарий от Mess

>Мой сознание отравлено было нетварью. Вменяемые права на всё. Админ в системе бог, но он не властен над аудитором. Аудитор знает всё обо всех, но не властен ни над кем. Пароли у них разные.

Не проще ли отталкиваться от практической задачи? Допустим, в реале пользовательские машины будут терминалами для доступа к Oracle, где есть и неотключаемый никем аудит, и fine-grained access control.

Absurd ★★★
()
Ответ на: комментарий от Darkman

>> звучит сложновато... ошибок и дыр из-за таких сложностей не появлялось?

> А чего тут сложного ?

то, что каждый лишний if - это возможность дыры в логике.

gaa ★★
()
Ответ на: комментарий от gaa

> то, что каждый лишний if - это возможность дыры в логике.

Там где нужен RBAC люди, обычно, хорошо думают, перед тем как что-то делать.

Darkman ★★★
()
Ответ на: комментарий от Mess

[про SELinux]

>> В RHEL - по дефолту стоит.

> Частный случай.

В Suse -- тоже по умолчанию включён. То есть, минимум, 2 из ведущих корпоративно-ориентированных его ставят.

acheron ★★★★
()
Ответ на: комментарий от Absurd

> Не проще ли отталкиваться от практической задачи? Допустим, в реале пользовательские машины будут терминалами для доступа к Oracle, где есть и неотключаемый никем аудит, и fine-grained access control.

Ораклом дело не ограничивается. Оракл штука редкая. Вон, 1С на линух переползает, так там не оракул, там постгрес. А куча других задач? Банальный файл-сервер?

Mess
()
Ответ на: комментарий от Mess

> Оракл штука редкая.

Да не факт. Мне один знакомый говорит что на многих бюджетных конторах его по тихому эксплуатируют с самопальными ленивыми аппликухами даже без админства. Стоит в углу, работает как часы, приложение можно наворачивать ленивым образом благо диалект SQL очень мощный и гибкий -> количество костылей до набора критической массы не доходит.

>Вон, 1С на линух переползает, так там не оракул, там постгрес.

Оракл под линух тоже есть

>А куча других задач? Банальный файл-сервер?

Файл-сервера фтопку.

Absurd ★★★
()
Ответ на: комментарий от gaa

> И? Зачем нужен аудитор на файл-сервере?

Мляяя... А чтоб никто не мог безнаказанно удалить/повредить жизненно важный файл.

Mess
()
Ответ на: комментарий от Mess

>> И? Зачем нужен аудитор на файл-сервере?

> Мляяя... А чтоб никто не мог безнаказанно удалить/повредить жизненно важный файл.

и? chmod a-w решает проблему. Если нудно много вариантов прав - навесить acl

gaa ★★
()
Ответ на: комментарий от Mess

>> Винда тоже "частный случай".

> Воистину! Только, увы, на 90 с лишком процентов машин в мире...

Кстати, 80% населения РФ смотрят "дом-2". Нам тоже дружно бежать к телику?

gaa ★★
()
Ответ на: комментарий от gaa

> и?

А!

> chmod a-w решает проблему. Не решит. Файлы общего пользования. Но у всех разные должны быть права

> Если нудно много вариантов прав - навесить acl

Во-во. Привыкаешь к 9, психологически и организационно сложно потом начать использовать другой инструмент. Легче забить, сказать, что требуемое сочетание прав нереализуемо ;)

Mess
()
Ответ на: комментарий от gaa

> 80% населения РФ смотрят "дом-2". Нам тоже дружно бежать к телику?

80% слушают галимую попсу. Из оставшихся 20 - 80% слушают шансон aka блатняк. Если я не перевариваю попсу, мне наслаждаться "Таганкой"?

Mess
()
Ответ на: комментарий от Mess

>> chmod a-w решает проблему.

> Не решит. Файлы общего пользования. Но у всех разные должны быть права

значит вешайте ACL

>> Если нужно много вариантов прав - навесить acl

> Во-во. Привыкаешь к 9, психологически и организационно сложно потом начать использовать другой инструмент.

а Вы почитайте про POSIX ACL(http://www.suse.de/~agruen/acl/linux-acls/online/). Их принципы ничем не отличаются от тех же 9-битных прав, даже запись похожа.

gaa ★★
()
Ответ на: комментарий от Mess

>> 80% населения РФ смотрят "дом-2". Нам тоже дружно бежать к телику?

> 80% слушают галимую попсу. Из оставшихся 20 - 80% слушают шансон aka блатняк. Если я не перевариваю попсу, мне наслаждаться "Таганкой"?

Заходи, я тебе Металлику послушать дам :)

Я вёл к тому, что 90% винды на рынке(кстати, а как это было подсчитано? не отделом продаж мс?) не говорят о том, что надо ориентироваться исключительно на неё и слизывать систему безопасностти с неё

gaa ★★
()
Ответ на: комментарий от gaa

> Заходи, я тебе Металлику послушать дам :)

Спасиба, я немного другие группы слушаю :) И в части ОС, я выбрал не самую массовую из альтернатив.

> (кстати, а как это было подсчитано? не отделом продаж мс?)

Смотри тему топика. Делл даже отказался назвать цифру предпочёвших более дешёвый линукс дорогой винде. Чтоб не травмировать нежную психику некоторых. По многим разным подсчётам доля винды на десктопах сильно больше 90%. На серверах и мэйнфреймах, конечно, по другому, но количество десктопов настолько больше количества серверов, что считаю вполне резонным цифру в 90% ВСЕХ операционок на всех компах в мире за виндой.

Mess
()
Ответ на: комментарий от gaa

> а Вы почитайте про POSIX ACL(http://www.suse.de/~agruen/acl/linux-acls/online/). Их принципы ничем не отличаются от тех же 9-битных прав, даже запись похожа.

Убожество. Лучше, конечно, чем стандартные 9 бит, но то ещё угробище. Да, именновыные юзер и группа, закроют бОльшую часть траблов, нерешаемых штатными девятью, но от геморроя не избавят. Малавата будет!

Mess
()
Ответ на: комментарий от Mess

>> а Вы почитайте про POSIX ACL...

> Убожество.

Аргументируйте. Чего именно Вам не хватает в подобном разграничении доступа к файлам?

gaa ★★
()
Ответ на: комментарий от gaa

> Аргументируйте. Чего именно Вам не хватает в подобном разграничении доступа к файлам?

Как минимум - раздельных прав на модификацию и на удаление. Без этого совсем тяжко. Мне ещё очень нравится флаг appnd во фряхе - модифицировать можно только добавлением к файлу. Для логов просто идеально.

Mess
()
Ответ на: комментарий от Mess

>> Аргументируйте. Чего именно Вам не хватает в подобном разграничении доступа к файлам?

> Как минимум - раздельных прав на модификацию и на удаление. Без этого совсем тяжко.

Запретить модификацию родительского каталога. Если не нужен лишний каталог - сделать в добавок ещё симлинк.

> Мне ещё очень нравится флаг appnd во фряхе - модифицировать можно только добавлением к файлу. Для логов просто идеально.

А это реально где-нибудь нужно? По-моему, это излишество

gaa ★★
()
Ответ на: комментарий от gaa

> Запретить модификацию родительского каталога

Рядом лежащий файл можно и нужно удалять. Не всем. Управление удалением файла только через права на каталог - суксь.

> Если не нужен лишний каталог - сделать в добавок ещё симлинк.

Черезжопу. Именно через это - любая более менее сложная задачка разделения прав в пространстве 9 бит (и посиксовых ваших ацээлей тоже).

> А это реально где-нибудь нужно? По-моему, это излишество

Ты не пробовал, вот тебе и излишество. Мне нравится. Кому не нужно - не мешает.

Mess
()
Ответ на: комментарий от Mess

>> Запретить модификацию родительского каталога

> Рядом лежащий файл можно и нужно удалять. Не всем. Управление удалением файла только через права на каталог - суксь.

Ну да, в винде 12 типов доступа к файлам. Соответственно, запутаться легче. Плодить лишние сущности, если можно обойтись только 9 битами нерационально и тянет за собой ошибки.

>> Если не нужен лишний каталог - сделать в добавок ещё симлинк.

> Черезжопу. Именно через это - любая более менее сложная задачка разделения прав в пространстве 9 бит (и посиксовых ваших ацээлей тоже).

Что через жопу? Работа с симлинками ведётся абсолютно также как и с файлами, прикладные программы и пользователи разницы не заметят.

gaa ★★
()
Ответ на: комментарий от gaa

> Ну да, в винде 12 типов доступа к файлам. Соответственно, запутаться легче. Плодить лишние сущности, если можно обойтись только 9 битами нерационально и тянет за собой ошибки.

Вах! Как говорят в некоторых кругах - слив засчитан!

> Что через жопу? Работа с симлинками ведётся абсолютно также как и с файлами, прикладные программы и пользователи разницы не заметят.

Сама необходимость создания симлинка исключительно для целей управления правами на файл - черезжопное решение. Кто тут только что говорил что-то про неумножение сущностей? (А вообще, я так и не понял, каким макаром симлинк позволяет решит описанную задачку?)

Mess
()
Ответ на: комментарий от Mess

>> Ну да, в винде 12 типов доступа к файлам. Соответственно, запутаться легче. Плодить лишние сущности, если можно обойтись только 9 битами нерационально и тянет за собой ошибки.

> Вах! Как говорят в некоторых кругах - слив засчитан!

Ваше право говорить что угодно. Я считаю эти слова необоснованными.

>> Что через жопу? Работа с симлинками ведётся абсолютно также как и с файлами, прикладные программы и пользователи разницы не заметят.

> Сама необходимость создания симлинка исключительно для целей управления правами на файл - черезжопное решение. Кто тут только что говорил что-то про неумножение сущностей?

Количество возможных прав на файлы не увеличилось, создана только одна дополнительная ссылка.

> (А вообще, я так и не понял, каким макаром симлинк позволяет решит описанную задачку?)

Советую подумать и понять.

gaa ★★
()
Ответ на: комментарий от Mess

>Как минимум - раздельных прав на модификацию и на удаление.

chmod +t хватает на 90% случаев. Очень удивлюсь, если /tmp во Фре *не* использует эту фичу.

>Мне ещё очень нравится флаг appnd во фряхе - модифицировать можно только добавлением к файлу. Для логов просто идеально.

chattr -a

Флаг appnd нравится не только Вам, но и разработчикам ext2/3. Хоть он и мешает logrotate работать.

Главная беда Линукса -- это все-таки документация, рассчитанная на тех, кто и так все знает, но хочет лишний раз перепроверить.

lodin ★★★★
()
Ответ на: комментарий от lodin

> chattr -a

Вау!!! Ты сделал линукс в моих глазах гораздо более привлекательным! То, чего мне категорически в линухе не хватало! Теперь, может и поставлю себе...

Mess
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.