Waarom zijn permanente root rechten nodig?

Verwijderd schreef op zondag 03 januari 2010 @ 16:54:
Waarom zouden Thuis gebruikers superuser rechten nodig hebben? Ik begrijp niet waarom het Linux (of andere unixen) moeten worden aangepast.

Omdat je als thuisgebruiker zowel gebruiker als sysadmin bent en je dus volledig je eigen beheer doet (of je dat nou wil of niet). Hoe wil je anders bepaalde software zoals drivers installeren als je bijv. een joystick hebt gekocht? Bij Linux en diverse andere unices is het vaak beperkt tot een commandline ding in de vorm van su en sudo. Er zijn echter mensen die vanuit de GUI ook nog wel eens dingen willen doen omdat ze bijvoorbeeld gedit nou eenmaal een fijnere editor vinden dan Vim. Dan moet het systeem je dan ook niet gaan belemmeren als je systeemconfiguraties met gedit zou willen bewerken. Het is een stukje optimalisatie als je iemand de mogelijkheid geeft wanneer hij zo'n bestand als user ipv root opent alsnog met een druk op de knop en het invoeren van het wachtwoord het bestand als root laat bewerken. Dat scheelt weer wat bewerkingen. Users willen gebruikersgemak maar sysadmins en anderen willen dat ook erg graag Dat laatste is er nog niet zo en daarom vinden een aantal mensen dat Linux (en unices) daarin wel wat aanpassingen kan gebruiken.

Verwijderd schreef op zondag 03 januari 2010 @ 19:57:
Als je basis ontwerp goed is hoef je over dit soort dingen niet meer na te denken. Waarom zou je in dit geval niet kiezen voor een derde groep?

Omdat je dan voor elke combinatie van gebruikers of groepen een nieuwe groep moet maken, wat niet echt schaalt...

chmod 775 directory

Waarom world-readable? En wat is het chown commando?

Oh, in plaats van de afdeling verkoop leesrechten te geven, geef je iedereen leesrechten... Lekker hoor.

[ Voor 51% gewijzigd door Olaf van der Spek op 03-01-2010 20:12 ]

Olaf van der Spek schreef op zondag 03 januari 2010 @ 20:07:
[...]

Omdat je dan voor elke combinatie van gebruikers of groepen een nieuwe groep moet maken, wat niet echt schaalt...

[...]

Waarom world-readable? En wat is het chown commando?

Oh, in plaats van de afdeling verkoop leesrechten te geven, geef je iedereen leesrechten... Lekker hoor.

Wat jij wilt is gewoon te bewerkstelligen d.m.v. ACL's, SELinux en nog op talloze andere manieren. Je hebt bij Linux namelijk keuzevrijheid (en dus flexbiliteit.) Ik vraag me daarom ook af wat wat nu je punt is?

Verwijderd schreef op zondag 03 januari 2010 @ 20:21:
Wat jij wilt is gewoon te bewerkstelligen d.m.v. ACL's, SELinux en nog op talloze andere manieren. Je hebt bij Linux namelijk keuzevrijheid (en dus flexbiliteit.) Ik vraag me daarom ook af wat wat nu je punt is?

1. Dat het POSIX model niet voldoende is.
2. Dat Linux standaard geen ACLs ondersteunt in het FS.

Tenminste, ik zie iedereen blijven aanklooien met POSIX.

Olaf van der Spek schreef op zondag 03 januari 2010 @ 20:27:
[...]

1. Dat het POSIX model niet voldoende is.
2. Dat Linux standaard geen ACLs ondersteunt in het FS.

Tenminste, ik zie iedereen blijven aanklooien met POSIX.

Weet je wel eens wat de POSIX standaarden inhouden? Geen idee waarom je dat aanhaalt en waarom dat relevant voor deze discussie is, maar je kan uit verschillende bestandssystemen kiezen die gewoon ACL's ondersteunen. De Linux kernel beschikt over tal van bestandssystemen.

Verwijderd schreef op zondag 03 januari 2010 @ 20:46:
Weet je wel eens wat de POSIX standaarden inhouden? Geen idee waarom je dat aanhaalt en waarom dat relevant voor deze discussie is, maar je kan uit verschillende bestandssystemen kiezen die gewoon ACL's ondersteunen. De Linux kernel beschikt over tal van bestandssystemen.

Ik heb het over de POSIX permissions, die laurencevde noemde. Het gaat ook niet om de kernel, maar om Linux als geheel.
Dat het op de een of andere manier ondersteunt wordt doet er voor mij niet toe, het gaat om wat er standaard mogelijk is in een (standaard) distro.

[ Voor 12% gewijzigd door Olaf van der Spek op 03-01-2010 21:08 ]

Gomez12 schreef op zaterdag 02 januari 2010 @ 19:44:
[...]

Ben trouwens wel geinteresseerd welke mogelijkheden je in windows mist als niet-admin ( die je dus wel in een ander OS hebt als niet-admin ), voor de dagelijkse praktijk kan ik perfect uit de voeten als niet-admin

Iets waar ik me onder Windows Vista over verbaasde, was dat ik admin rechten nodig had om snelkoppelingen uit mijn start-menu te verwijderen.

Waar ik mij tevens over verbaasde, was dat ik deze blijkbaar kreeg door op "doorgaan" te klikken. Wat weerhoudt mijn neefje die op visite is er dan van om dat soort dingen ook te doen zonder dat ik dat wil? Dan kun je het net zo goed niet vragen toch?

Verwijderd schreef op zondag 03 januari 2010 @ 19:57:
[...]
Als je basis ontwerp goed is hoef je over dit soort dingen niet meer na te denken. Waarom zou je in dit geval niet kiezen voor een derde groep?

Omdat ik dan al heel snel een 4e groep nodig heb, en een 5e groep en een 6e groep etc.

[...]
Die 75 groepen vind ik wel heel erg interessant, mochten dit 75 shell accounts zijn dan kan ik me er iets bij voorstellen. Mochten dit 75 niet shell account gebonden groepen zijn dan twijfel ik heel erg aan de kwaliteiten van de beheerders.

Ach, omgeving met 3000 gebruikers en 150 vestigingen waarvan een gedeelte franchise was en een gedeelte niet, dan krijg je al snel redelijk wat groeperingen ( in theorie hadden we nog meer groepen nodig, alleen vanwege ou's konden we ook nog dingen over de groepen heenleggen, ou's zouden nog wel te herschrijven zijn naar 3e groep )

[...]
chmod 775 directory

Nope, niet duidelijk vermeld maar het leek me toch wel duidelijk dat ik het niet world-readable wilde hebben als ik het over 75 groepen heb en er maar 2 noem...
In de praktijk was het nog ietwat ingewikkelder, 1 centrale inkoop, meerdere verkoopgroepen ( afhankelijk van franchise etc. ) waarvan sommige verkoopgroepen in de map mochten schrijven, sommige verkoopgroepen mochten alleen lezen, sommige verkoopgroepen mochten niets.

Dan wil je serieus niet gaan werken met extra groepen per samenvoeging, dan wil je echt iets beters gebruiken voordat je aantal groepen giga is...

World-readable/writeable was sowieso out of the question omdat bijv de balieterminals van vestigingen van 3 man ook op die fileserver konden.

Verwijderd schreef op zondag 03 januari 2010 @ 20:21:
[...]
Wat jij wilt is gewoon te bewerkstelligen d.m.v. ACL's, SELinux en nog op talloze andere manieren. Je hebt bij Linux namelijk keuzevrijheid (en dus flexbiliteit.) Ik vraag me daarom ook af wat wat nu je punt is?

Ach, Stacheldracht zei nooit in Linux ACL's nodig gehad te hebben door een KISS-opzet, dan was ik wel even benieuwd hoe hij een redelijk simpel praktijkvoorbeeld zou aanpakken.
Dat het met ACL's kan staat buiten kijf.

mcDavid schreef op zondag 03 januari 2010 @ 21:26:
[...]
Iets waar ik me onder Windows Vista over verbaasde, was dat ik admin rechten nodig had om snelkoppelingen uit mijn start-menu te verwijderen.

Waar ik mij tevens over verbaasde, was dat ik deze blijkbaar kreeg door op "doorgaan" te klikken. Wat weerhoudt mijn neefje die op visite is er dan van om dat soort dingen ook te doen zonder dat ik dat wil? Dan kun je het net zo goed niet vragen toch?

Oeh, zal ik morgen eens proberen, lijkt me namelijk niet dat dit zo werkt ( als je als standaard gebruiker bent ingelogd ), dat enkel doorgaan klikken klinkt als de standaard UAC als je als admin werkt.
Mensen die aankomen met voorbeelden waarbij ze als admin werken vind ik niet interessant als het om een vergelijking met linux gaat waar je veelal nog niet eens als root kan inloggen.

[ Voor 29% gewijzigd door Gomez12 op 03-01-2010 21:35 ]

mcDavid schreef op zondag 03 januari 2010 @ 21:26:

Iets waar ik me onder Windows Vista over verbaasde, was dat ik admin rechten nodig had om snelkoppelingen uit mijn start-menu te verwijderen.

Waar ik mij tevens over verbaasde, was dat ik deze blijkbaar kreeg door op "doorgaan" te klikken. Wat weerhoudt mijn neefje die op visite is er dan van om dat soort dingen ook te doen zonder dat ik dat wil? Dan kun je het net zo goed niet vragen toch?

Doe dan eens wat er al eerder is voorgesteld. Ga werken met een gewone gebruiker, dus geen poweruser of wat dan ook. Nu weet ik niet hoe dat in Vista gaat, maar in Windows 7 moet je een account selecteren en een wachtwoord opgeven op het moment dat je als admin een UAC melding zou krijgen.

ppl schreef op zondag 03 januari 2010 @ 20:04:
[...]

Omdat je als thuisgebruiker zowel gebruiker als sysadmin bent en je dus volledig je eigen beheer doet (of je dat nou wil of niet). Hoe wil je anders bepaalde software zoals drivers installeren als je bijv. een joystick hebt gekocht? Bij Linux en diverse andere unices is het vaak beperkt tot een commandline ding in de vorm van su en sudo. Er zijn echter mensen die vanuit de GUI ook nog wel eens dingen willen doen omdat ze bijvoorbeeld gedit nou eenmaal een fijnere editor vinden dan Vim. Dan moet het systeem je dan ook niet gaan belemmeren als je systeemconfiguraties met gedit zou willen bewerken. Het is een stukje optimalisatie als je iemand de mogelijkheid geeft wanneer hij zo'n bestand als user ipv root opent alsnog met een druk op de knop en het invoeren van het wachtwoord het bestand als root laat bewerken. Dat scheelt weer wat bewerkingen. Users willen gebruikersgemak maar sysadmins en anderen willen dat ook erg graag Dat laatste is er nog niet zo en daarom vinden een aantal mensen dat Linux (en unices) daarin wel wat aanpassingen kan gebruiken.

Maar dit is nog geen reden om een thuis gebruiker superuser rechten te geven. Sowieso vind ik dit meer taken voor iemand die een clue heeft waar die mee bezig is. Maar wat windows doet - thuis gebruikers root geven - is natuurlijk geen goede oplossing. En ik begrijp ook niet waarom Ubuntu dit zomaar kopieert.

Zelfs als je dit soort taken zou willen overlaten aan thuis gebruikers zou je dat heel anders moeten doen. En niet zomaar allerlei knopjes geven waar ze op kunnen rammen. Bijvoorbeeld door specifieke programma's te maken waarmee die thuisgebruikers makkelijk bepaalde taken kunnen uitvoeren. Maar dit laatste is echt niet zo makkelijk, het is zelfs heel erg lastig.

mcDavid schreef op zondag 03 januari 2010 @ 21:26:
Wat weerhoudt mijn neefje die op visite is er dan van om dat soort dingen ook te doen zonder dat ik dat wil? Dan kun je het net zo goed niet vragen toch?

Laat je neefje dan ook het Gast account gebruiken en niet jouw account.
Zoiezo, zijn je documenten en dergelijke niet belangrijker dan wat snelkoppelingen?

Verwijderd schreef op zondag 03 januari 2010 @ 21:29:
Maar dit is nog geen reden om een thuis gebruiker superuser rechten te geven.

Hoe moet je anders software installaties en optuigen van een systeem doen? Gaat de OS-fabrikant iedereen helpen daarmee? Dus niet.

Verwijderd schreef op zondag 03 januari 2010 @ 21:29:
[...]

Doe dan eens wat er al eerder is voorgesteld. Ga werken met een gewone gebruiker, dus geen poweruser of wat dan ook. Nu weet ik niet hoe dat in Vista gaat, maar in Windows 7 moet je een account selecteren en een wachtwoord opgeven op het moment dat je als admin een UAC melding zou krijgen.

Het boeit me geen zak hoe dat met windows gaat, ik werk toch alleen met Ubuntu.

Maargoed Vista stond voorgeinstalleerd op mijn laptop, dus dan ga je toch even kijken heh. Ik heb helemaal niets ingesteld qua gebruikersaccounts. Alleen een username en password opgegeven. Er is mij nergens gevraagd of ik wel zeker wist dat ik als root wou werken.
But then, als ik al als root werk, waarom moet er dan óók nog zo'n dialoogvenstertje bij dat me iedere keer waarschuw als ik iets wil doen wat een andere user dus niet zou mogen?
Ik vond het gewoon vaag. Bij XP snapte ik het: daar mocht je gewoon alles doen. Bij Ubuntu snap ik het ook: daar mag je sommige dingen alleen doen als je het juiste wachtwoord weet. Bij Visita mag je sommige dingen niet direct doen, maar na enig aandringen blijkbaar wel gewoon. Dat is gewoon vaag.
_{De situaties hierboven zijn dan gebaseerd op een standaard installatie}

Olaf van der Spek schreef op zondag 03 januari 2010 @ 21:30:
[...]

Laat je neefje dan ook het Gast account gebruiken en niet jouw account.
Zoiezosowieso, zijn je documenten en dergelijke niet belangrijker dan wat snelkoppelingen?

Opzich wel, maar ik ga niet uit van kwade wil bij mensen die ik op mijn computer laat. Maar als ze een wachtwoord nodig hebben om iets te installeren, weet ik wel dat ze niet zomaar een virus binnenhalen ofzo.

mcDavid schreef op zondag 03 januari 2010 @ 21:48:

Het boeit me geen zak hoe dat met windows gaat, ik werk toch alleen met Ubuntu.

En toch had je het over Windows Vista. Dat is toch vreemd als het je geen zak interesseert.

Maargoed Vista stond voorgeinstalleerd op mijn laptop, dus dan ga je toch even kijken heh. Ik heb helemaal niets ingesteld qua gebruikersaccounts. Alleen een username en password opgegeven. Er is mij nergens gevraagd of ik wel zeker wist dat ik als root wou werken.
But then, als ik al als root werk, waarom moet er dan óók nog zo'n dialoogvenstertje bij dat me iedere keer waarschuw als ik iets wil doen wat een andere user dus niet zou mogen?

Dat komt blijkbaar omdat je een onervaren gebruiker bent die het niet heeft uitgeschakeld. Als je vindt dat je het beter weet (de Linux manier dus) moet je gewoon UAC uitschakelen. Waarom zou jouw gebrek aan kennis een gebrek van het besturingssysteem zijn?

Ik vond het gewoon vaag. Bij XP snapte ik het: daar mocht je gewoon alles doen. Bij Ubuntu snap ik het ook: daar mag je sommige dingen alleen doen als je het juiste wachtwoord weet. Bij Visita mag je sommige dingen niet direct doen, maar na enig aandringen blijkbaar wel gewoon. Dat is gewoon vaag.
_{De situaties hierboven zijn dan gebaseerd op een standaard installatie}

Dat is helemaal niet vaag. Het is een duidelijke waarschuwing als je iets gaat doen dat gevolgen kan hebben voor iedereen die het systeem gebruikt. Op zich dus een goed hulpmiddel voor minder ervaren gebruikers. Wil je het niet zien? Dan schakel je dat toch uit?

mcDavid schreef op zondag 03 januari 2010 @ 21:48:
But then, als ik al als root werk, waarom moet er dan óók nog zo'n dialoogvenstertje bij dat me iedere keer waarschuw als ik iets wil doen wat een andere user dus niet zou mogen?

Nee, je werkt als 'normale' gebruiker, en na dat venstertje als root.

Opzich wel, maar ik ga niet uit van kwade wil bij mensen die ik op mijn computer laat. Maar als ze een wachtwoord nodig hebben om iets te installeren, weet ik wel dat ze niet zomaar een virus binnenhalen ofzo.

Daar heb je geen root voor nodig hoor.

Verwijderd schreef op zondag 03 januari 2010 @ 21:55:
[...]
Dat komt blijkbaar omdat je een onervaren gebruiker bent die het niet heeft uitgeschakeld. Als je vindt dat je het beter weet (de Linux manier dus) moet je gewoon UAC uitschakelen. Waarom zou jouw gebrek aan kennis een gebrek van het besturingssysteem zijn?

1 kleine kanttekening, je moet wel eerst even een standaard user account aanmaken, het 1e account ( minimaal ) op vista aangemaakt is default admin ( win7 schijnt dit omgegooid te zijn, maar deze defaults gelden enkel voor een schone install, niet perse voor een oem-install van een leverancier )

Anders krijg je straks weer het gezeur dat er zomaar virussen etc buiten je home-directory komen door enkel een linkje aan te klikken ( tja, je wou toch admin zijn zonder UAC )

[...]
Dat is helemaal niet vaag. Het is een duidelijke waarschuwing als je iets gaat doen dat gevolgen kan hebben voor iedereen die het systeem gebruikt. Op zich dus een goed hulpmiddel voor minder ervaren gebruikers. Wil je het niet zien? Dan schakel je dat toch uit?

Idd, het is gewoon een verbeterd systeem voor een heleboel mensen, ik weet zelf al redelijk wat mensen die het het oeps,foutje kan je even langskomen bespaard heeft.

mcDavid schreef op zondag 03 januari 2010 @ 21:48:
[...]
Opzich wel, maar ik ga niet uit van kwade wil bij mensen die ik op mijn computer laat. Maar als ze een wachtwoord nodig hebben om iets te installeren, weet ik wel dat ze niet zomaar een virus binnenhalen ofzo.

Ach, wat heerlijk naief. Laat me raden, je gelooft ook dat linux geen virussen kent...
Het meest ideale wat er zou kunnen gebeuren met een perfect OS zonder popups etc waar een virus in rondwaart is nog steeds dat al je eigen data naar de knoppen gaat. Tja, laat ik nou aan mijn data iets meer waarde hechten dan aan programma's / OSen die ik zo herinstalleer.

[ Voor 20% gewijzigd door Gomez12 op 03-01-2010 22:13 ]

Overigens vind ik de hele discussie sowieso onzin. Wat maakt het uit om af en toe een wachtwoord in te voeren of een keer (Windows) op 'Ok' te klikken? Als je hier over valt (vooral onder Windows) moet je je misschien ook afvragen wat voor nut dialoogvensters in het algemeen hebben? Ik weet het antwoord hier wel op.

gambieter schreef op zondag 03 januari 2010 @ 21:44:
[...]

Hoe moet je anders software installaties en optuigen van een systeem doen? Gaat de OS-fabrikant iedereen helpen daarmee? Dus niet.

Uh ik zal het eerst even verduidelijken. Ik was niet zo duidelijk denk ik. Ik zie zelf liever dat gebruikers niet rechten (of eigenlijk mogelijkheden) krijgen waar ze toch niks mee kunnen.

Om je vraag te beantwoorden: Ik denk niet dat thuis gebruikers niet de mogelijkheid moeten krijgen om een disk te partitioneren, een IP adres in te stellen etc. Omdat ze toch geen flauw idee hebben wat ze doen. IMO is de huidige Ubuntu installer dus ook bullshit, omdat die helemaal niet is gericht op systeembeheerders.

Verwijderd schreef op zondag 03 januari 2010 @ 22:11:
Uh ik zal het eerst even verduidelijken. Ik was niet zo duidelijk denk ik. Ik zie zelf liever dat gebruikers niet rechten (of eigenlijk mogelijkheden) krijgen waar ze toch niks mee kunnen.

Om je vraag te beantwoorden: Ik denk niet dat thuis gebruikers niet de mogelijkheid moeten krijgen om een disk te partitioneren, een IP adres in te stellen etc. Omdat ze toch geen flauw idee hebben wat ze doen. IMO is de huidige Ubuntu installer dus ook bullshit, omdat die helemaal niet is gericht op systeembeheerders.

Ah, je wilt alle OS'en voor dummies maken? Dat zou betekenen dat geen enkel OS fatsoenlijk ingesteld kan worden. Als er iets is wat het succes van de computer tegen zal werken...

Verwijderd schreef op zondag 03 januari 2010 @ 22:11:
Uh ik zal het eerst even verduidelijken. Ik was niet zo duidelijk denk ik. Ik zie zelf liever dat gebruikers niet rechten (of eigenlijk mogelijkheden) krijgen waar ze toch niks mee kunnen.

Bedoel je met thuisgebruiker dan iemand die een handige vriend heeft om de PC te beheren?

Ik ben het wel met je eens dat er nog heel veel verbeterd kan worden, waarbij zowel veiligheid als bruikbaarheid omhoog gaan.

[ Voor 14% gewijzigd door Olaf van der Spek op 03-01-2010 22:20 ]

gambieter schreef op zondag 03 januari 2010 @ 22:14:
[...]

Ah, je wilt alle OS'en voor dummies maken? Dat zou betekenen dat geen enkel OS fatsoenlijk ingesteld kan worden. Als er iets is wat het succes van de computer tegen zal werken...

Hohoho, hij heeft er vast een heel businessmodel omheen bedacht, hij installeert de computers

gambieter schreef op zondag 03 januari 2010 @ 22:14:
[...]

Ah, je wilt alle OS'en voor dummies maken? Dat zou betekenen dat geen enkel OS fatsoenlijk ingesteld kan worden. Als er iets is wat het succes van de computer tegen zal werken...

Dat zeg ik helemaal niet. Ik ben er voor dat GEBRUIKERS niet die mogelijkheid krijgen. En dit is niet nieuw. Zo werkt Unix. Kijk er maar is naar.

Verwijderd schreef op zondag 03 januari 2010 @ 22:59:
Dat zeg ik helemaal niet. Ik ben er voor dat GEBRUIKERS niet die mogelijkheid krijgen. En dit is niet nieuw. Zo werkt Unix. Kijk er maar is naar.

Dat zeg je wel. Want je vind dat thuisgebruikers geeneens een IP-adres mogen veranderen. Maar wie mag dat dan wel op die PC? Wie wordt de Admin/Superuser die veranderingen aan het systeem maakt?

Als je wat anders bedoeld mag je dat dan duidelijker uitleggen, want zoals je het nu brengt mag geen enkele thuisgebruiker in jouw ideale OS iets aanpassen. Maar dat moet nu eenmaal als je nieuwe software installeert, als je nieuwe instellingen nodig hebt, etc etc.

Waarom denk je dat Unix niet doorbreekt als OS voor thuisgebruikers?

Olaf van der Spek schreef op zondag 03 januari 2010 @ 22:17:
[...]

Bedoel je met thuisgebruiker dan iemand die een handige vriend heeft om de PC te beheren?

Ik ben het wel met je eens dat er nog heel veel verbeterd kan worden, waarbij zowel veiligheid als bruikbaarheid omhoog gaan.

Mja, of dat je de PC bij de winkel dumpt en zegt: "doe maar upgraden". Iig iemand die weet hoe het systeem werkt.

Verwijderd schreef op zondag 03 januari 2010 @ 23:08:
Mja, of dat je de PC bij de winkel dumpt en zegt: "doe maar upgraden". Iig iemand die weet hoe het systeem werkt.

Ben je wel eens in PC-winkels geweest? Daar lopen echt geen computergenieen rond hoor .

gambieter schreef op zondag 03 januari 2010 @ 23:03:
[...]

Dat zeg je wel. Want je vind dat thuisgebruikers geeneens een IP-adres mogen veranderen. Maar wie mag dat dan wel op die PC? Wie wordt de Admin/Superuser die veranderingen aan het systeem maakt?

Als je wat anders bedoeld mag je dat dan duidelijker uitleggen, want zoals je het nu brengt mag geen enkele thuisgebruiker in jouw ideale OS iets aanpassen. Maar dat moet nu eenmaal als je nieuwe software installeert, als je nieuwe instellingen nodig hebt, etc etc.

oh heh, je weet echt niks van unix.

Systeembeheer wordt in Unix over het algemeen heel anders gedaan. Het idee is om Systeembeheer makkelijk te maken voor systeembeheerders (of andere mensen met een clue). D.m.v. configuratie file's etc kan je vervolgens bepaalde services instellen en die bepaalde dingen laten doen. Dit is ook redelijk veilig omdat je met vrij kleine tools (en meestal goed gecontroleerd op fouten) met de kernel kan praten.

Het idee is ook om gebruikers een redelijk veilige omgeving te geven waarin ze kunnen kutten. En niet waarin ze de mogelijkheid hebben om het systeem te verneuken. En deze groep dus geen rechten geven waar ze geen fuck aan hebben.

Waarom denk je dat Unix niet doorbreekt als OS voor thuisgebruikers?

Waarom denk je dat overgewicht zo'n groot probleem is in de VS?

Verwijderd schreef op zondag 03 januari 2010 @ 23:31:
oh heh, je weet echt niks van unix.

Ik heb er ook geen interesse in . Ik wil namelijk een OS waar ik als eigenaar in kan kloten.

Systeembeheer wordt in Unix over het algemeen heel anders gedaan. Het idee is om Systeembeheer makkelijk te maken voor systeembeheerders (of andere mensen met een clue). D.m.v. configuratie file's etc kan je vervolgens bepaalde services instellen en die bepaalde dingen laten doen. Dit is ook redelijk veilig omdat je met vrij kleine tools (en meestal goed gecontroleerd op fouten) met de kernel kan praten.

En wie stelt die in? Wie beheert die? We hebben het hier over thuisgebruikers, mensen die hun eigen computer gebruiken. Dit is geen professionele omgeving.

Het idee is ook om gebruikers een redelijk veilige omgeving te geven waarin ze kunnen kutten. En niet waarin ze de mogelijkheid hebben om het systeem te verneuken. En deze groep dus geen rechten geven waar ze geen fuck aan hebben.

Jij komt met voorbeelden als het aanpassen van IP-adressen. Reken maar dat dat iets is wat je moet kunnen doen, zeker op laptops etc.

Jij wilt ze een fiets geven waar de meeste versnellingen van geblokkeerd zijn, want die hebben ze niet nodig. Maar wie beslist dat, en hoe kijk je vooruit? Nogmaals, we hebben het niet over een professionele omgeving.

Waarom denk je dat overgewicht zo'n groot probleem is in de VS?

Niet vanwege dichtgespijkerde OSen voor dummies. Alhoewel, ze zouden de computer niet goed kunnen gebruiken en misschien wat meer lichaamsbeweging nemen.

Maar leg nu eens uit hoe jij een OS wilt dichtspijkeren en nog steeds de mogelijkheid openhoud dat iemand veranderingen kan aanbrengen wanneer nodig, zonder daarvoor een dure expert in huis te halen.

gambieter schreef op zondag 03 januari 2010 @ 23:38:
[...]

Jij komt met voorbeelden als het aanpassen van IP-adressen. Reken maar dat dat iets is wat je moet kunnen doen, zeker op laptops etc.

waarom zou je als je een normale gebruiker bent je ipadressen willen aanpassen? Als normale gebruiker heb je daar geen nood aan...

Verwijderd schreef op zondag 03 januari 2010 @ 23:48:
waarom zou je als je een normale gebruiker bent je ipadressen willen aanpassen? Als normale gebruiker heb je daar geen nood aan...

Wat dacht je van een laptop op verschillende locaties? Een PC waar poorten naar open moeten en je het IP-adres van wilt vastzetten? Hoe weet je wat ooit nodig is?

Het is een ietwat arrogante houding om te zeggen "dat hebben ze niet nodig". Dat weet je niet van te voren.

gambieter schreef op zondag 03 januari 2010 @ 23:38:
[...]
Maar leg nu eens uit hoe jij een OS wilt dichtspijkeren en nog steeds de mogelijkheid openhoud dat iemand veranderingen kan aanbrengen wanneer nodig, zonder daarvoor een dure expert in huis te halen.

Denkfout, hij heeft zelf al aangegeven dat de klant het dan naar de pc-boer moet brengen.

Linux is blijkbaar volgens hem niet geschikt voor normale mensen die wel eens een nieuwe router oid neerzetten en niet zo van dhcp houden.
Nieuwe hardware aansluiten? Dat is pc wegbrengen.
Klant wil een ander programma voor zijn foto's te beheren? Dat is pc wegbrengen.

gambieter schreef op zondag 03 januari 2010 @ 23:50:
Wat dacht je van een laptop op verschillende locaties?

Daar zorgt de dhcp server van de router / netwerk wel voor.

gambieter schreef op zondag 03 januari 2010 @ 23:50:
Een PC waar poorten naar open moeten en je het IP-adres van wilt vastzetten? Hoe weet je wat ooit nodig is?

Daar heb je wel punt, hoewel als je begint met static ips je meestal niet meer als "normale" pc gebruiker beschouwd word, veleer gamers en netwerkbeheerders hebben dit nodig en deze weten meestal wel hoe ze dit moeten doen aangezien deze in staat zijn hun eigen OS te installeren. Ik blijf erbij dat normale eindgebruiker dit niet nodig.heeft.

Verwijderd schreef op zondag 03 januari 2010 @ 23:56:
[...]

Daar zorgt de dhcp server van de router / netwerk wel voor.

Tja, als het enkel dat zou zijn
Meeste omgevingen waar ik heenga met mijn laptop hebben proxy-servers etc, beheerders die buiten dhcp vallen etc dan is een batchfiletje toch wel iets makkelijker.
Oh wacht, dan ben ik natuurlijk niet meer een normale pc-gebruiker en dan zou jouw linux versie mij alleen maar dwarsbomen.

[...]
Daar heb je wel punt, hoewel als je begint met static ips je meestal niet meer als "normale" pc gebruiker beschouwd word, veleer gamers en netwerkbeheerders hebben dit nodig en deze weten meestal wel hoe ze dit moeten doen aangezien deze in staat zijn hun eigen OS te installeren. Ik blijf erbij dat normale eindgebruiker dit niet nodig.heeft.

Programma's installeren is dat iets wat de normale gebruiker dan nodig heeft? ( bijv nieuw foto programma )
Nieuwe hardware installeren is dat iets wat de normale gebruiker dan nodig heeft?

Sowieso, gamers geen normale gebruikers noemen vind ik tochwel een ietwat rare keus. Een gamer van 14 kan perfect een how-to volgen, maar beheer zou hij nooit op een van mijn machines mogen doen.

Olaf van der Spek schreef op maandag 04 januari 2010 @ 11:22:
DHCP?

Alleen als je er zeker van bent dat je altijd hetzelfde IP-adres krijgt. En laat dat nu het makkelijkste te regelen te zijn met een statisch IP-adres, zeker bij consumentensituaties.

Port forwarding zou inderdaad eens sterk verbeterd moeten worden, dan heb je daar ook geen root rechten (of een vast IP adres) voor nodig.

Waarom de schuld geven aan port forwarding, ipv het waanidee op te geven dat consumenten als kleine kinderen moeten worden behandeld?

gambieter schreef op maandag 04 januari 2010 @ 11:27:
Alleen als je er zeker van bent dat je altijd hetzelfde IP-adres krijgt. En laat dat nu het makkelijkste te regelen te zijn met een statisch IP-adres, zeker bij consumentensituaties.

Met de huidige brakke port forwarding wel ja. Zeker als je router geen port forwarding op naam ondersteund.

Waarom de schuld geven aan port forwarding, ipv het waanidee op te geven dat consumenten als kleine kinderen moeten worden behandeld?

Omdat zelfs voor een 'expert' port forwarding gekloot is momenteel.

Olaf van der Spek schreef op maandag 04 januari 2010 @ 11:34:
Omdat zelfs voor een 'expert' port forwarding gekloot is momenteel.

Oh? Zelfs mijn n00be broer heeft het voor elkaar gekregen met wat minimale telefonische aanwijzingen, dus dat valt wel mee.

Maar je staart je een beetje blind op het IP-adres voorbeeld, dat was een van de dingen waarvan werd gezegd dat een thuisgebruiker dat nooit nodig zou hebben, en die zeepbel is ruim doorgeprikt. Deze materie moet men niet bekijken vanuit het oogpunt van een professionele systeembeheerder/BOFH, want die denken vaak heel negatief over users en willen niets toestaan. Dat gaat in een thuissituatie gewoon niet op .

Windows kan goed leren van Linux als het gaat om veiligheid, maar Linux kan een hoop leren van Windows en OSX als het gaat om toegankeljkheid en vriendelijkheid voor thuisgebruikers

gambieter schreef op maandag 04 januari 2010 @ 11:39:
Oh? Zelfs mijn n00be broer heeft het voor elkaar gekregen met wat minimale telefonische aanwijzingen, dus dat valt wel mee.

Ik zeg toch niet dat het te moeilijk is? Het zou alleen zoveel simpeler kunnen.

Windows kan goed leren van Linux als het gaat om veiligheid, maar Linux kan een hoop leren van Windows en OSX als het gaat om toegankeljkheid en vriendelijkheid voor thuisgebruikers

Dat ben ik met je eens. Alhoewel Windows de afgelopen 10 jaar grote stappen vooruit heeft gezet qua veiligheid.

gambieter schreef op zondag 03 januari 2010 @ 23:38:
[...]

Ik heb er ook geen interesse in . Ik wil namelijk een OS waar ik als eigenaar in kan kloten.

Wat doe je in NOS eigenlijk? Lunix fanbois pesten? (is heel leuk overigens)

En wie stelt die in? Wie beheert die? We hebben het hier over thuisgebruikers, mensen die hun eigen computer gebruiken. Dit is geen professionele omgeving.

Maar zomaar beheerdersrechten geven aan thuisgebruikers werkt ook niet. Kijk maar naar Windows.

Jij komt met voorbeelden als het aanpassen van IP-adressen. Reken maar dat dat iets is wat je moet kunnen doen, zeker op laptops etc.

Jij wilt ze een fiets geven waar de meeste versnellingen van geblokkeerd zijn, want die hebben ze niet nodig. Maar wie beslist dat, en hoe kijk je vooruit? Nogmaals, we hebben het niet over een professionele omgeving.

Zoals ik al zei, ik denk dat het beter is om bepaalde taken aan gebruikers te geven. Ik heb natuurlijk niet direct een oplossing hiervoor. Maar om thuis gebruikers gewoon maar een heleboel knopjes geven om in te rammen is IMO geen oplossing.

Niet vanwege dichtgespijkerde OSen voor dummies. Alhoewel, ze zouden de computer niet goed kunnen gebruiken en misschien wat meer lichaamsbeweging nemen.

Maar leg nu eens uit hoe jij een OS wilt dichtspijkeren en nog steeds de mogelijkheid openhoud dat iemand veranderingen kan aanbrengen wanneer nodig, zonder daarvoor een dure expert in huis te halen.

Natuurlijk kan de eigenaar van de computer wel de login gegevens van root krijgen. Maar om voor alle taken van root maar een GUI te bouwen vind ik een slecht idee.

En de eigenaar van de PC moet verteld worden als hij als superuser inlogged dat hij het systeem kan verneuken.

Zoals ik al zei zouden deze "dure experts" gedeeltelijk vervangen kunnen worden.

gambieter schreef op zondag 03 januari 2010 @ 23:50:
[...]Wat dacht je van een laptop op verschillende locaties? Een PC waar poorten naar open moeten en je het IP-adres van wilt vastzetten? Hoe weet je wat ooit nodig is?

Omdat je dan enige kennis van zaken nodig hebt, en daarom de nodige rechten toebedeeld zou mogen krijgen, zijn daar wel tooltjes voor. Onder opensuse's yast vind je de optie om de netwerkverbinding te laten beheren door een user. Alleen het instellen van poorten kan dan niet direct, maar daar valt vast ook wel een mouw aan te passen...

Verwijderd schreef op zondag 03 januari 2010 @ 21:29:
[...]

Maar dit is nog geen reden om een thuis gebruiker superuser rechten te geven. Sowieso vind ik dit meer taken voor iemand die een clue heeft waar die mee bezig is. Maar wat windows doet - thuis gebruikers root geven - is natuurlijk geen goede oplossing. En ik begrijp ook niet waarom Ubuntu dit zomaar kopieert.

Sja, daarvoor zul je een compleet nieuw OS from scratch moeten gaan schrijven. Het kan gewoon niet anders voor thuisgebruikers. Het betekent niet dat ze ook continu met zo'n account moeten werken omdat je prima een useraccount kunt maken die alleen user is en eentje waarmee je installaties kunt doen. Dat kan in Windows echter ook. Deze manier van werken is alleen lastig en omslachtig, althans, zo ervaren veel mensen het.

Zelfs als je dit soort taken zou willen overlaten aan thuis gebruikers zou je dat heel anders moeten doen. En niet zomaar allerlei knopjes geven waar ze op kunnen rammen. Bijvoorbeeld door specifieke programma's te maken waarmee die thuisgebruikers makkelijk bepaalde taken kunnen uitvoeren. Maar dit laatste is echt niet zo makkelijk, het is zelfs heel erg lastig.

Wat moet er dan precies anders? Houdt hierbij wel het huidige ontwerp van Linux in de gedachten!
De rest van je verhaal gaat op voor ieder stuk software, zowel het OS als de applicaties maar hoofdzakelijk voor applicaties. Erg lastig omdat je verschillende soorten thuisgebruikers hebt waarbij de ene wat meer kennis heeft dan de ander. Hoe los je dat verschil in kennis op?

Je denkt teveel vanuit een office omgeving waarbij users geen systeembeheer taken hebben. Voor thuisgebruikers gaat dit echter niet op. Het is ook helemaal niet wenselijk om dat zo te doen, daarmee ondermijn je ook direct de gedachte achter iets als Linux: vrijheid voor de gebruiker. Daarmee ontzeg je feitelijk iemand z'n recht op zelfbeschikking als het ook al geen overtreding is van het consumentenrecht is. Het tornen aan fundamentele rechten van consumenten en burgers is iets dat van de zotte, not done en verwerpelijk is afgezien van illegaal.

Verwijderd schreef op zondag 03 januari 2010 @ 22:11:
[...]

Uh ik zal het eerst even verduidelijken. Ik was niet zo duidelijk denk ik. Ik zie zelf liever dat gebruikers niet rechten (of eigenlijk mogelijkheden) krijgen waar ze toch niks mee kunnen.

Om je vraag te beantwoorden: Ik denk niet dat thuis gebruikers niet de mogelijkheid moeten krijgen om een disk te partitioneren, een IP adres in te stellen etc. Omdat ze toch geen flauw idee hebben wat ze doen. IMO is de huidige Ubuntu installer dus ook bullshit, omdat die helemaal niet is gericht op systeembeheerders.

Met zo'n redenering begin ik me af te vragen of je überhaupt wel besef van realiteit hebt. Ja het is erg grof gezegd maar het is even grof om alle gebruikers maar over 1 kam te scheren en ze hun recht op zelfbeschikking e.d. maar te ontzeggen. Wie heeft er nou voor die computer betaald? Wat staat er in de wet dat men van zo'n product mag verwachten? Exact, zij hebben het gekocht en de wet meldt dat zij dan ook een goed werkend product mogen verwachten. Het niet kunnen instellen van de machine zodat deze ook werkt gaat daar lijnrecht tegenin

Ik vind het wel een groot verschil als je stelt dat gebruikers die een computer aanschaffen of een installatie doen weinig moeite hoeven te doen op gebied van partitioneren en ip-adressen instellen (gezien de vele soho oplossing met dhcp is dat sowieso al iets waarbij ik me afvraag hoe je daar bij komt...ok ok, als een helpdesk je dat verzoekt en je door de procedure praat kan ik het me voorstellen). Ook voor systeembeheerders is zoiets wel erg prettig zolang je ook maar de mogelijkheid hebt voor een knopje "advanced" om het daarna allemaal wel te kunnen. Gemak dient de mens en zowel systeembeheerder en gebruiker zijn mens. Die nieuwe Ubuntu installer is daarom ook geen bullshit omdat hij niet gericht is op systeembeheerders. Mocht je moeilijk willen dan kun je altijd nog de andere installer mogelijkheid kiezen en die iso downloaden. Je bent echt niet beperkt tot die nieuwe installer op die live cd.

Verwijderd schreef op zondag 03 januari 2010 @ 22:10:
Overigens vind ik de hele discussie sowieso onzin. Wat maakt het uit om af en toe een wachtwoord in te voeren of een keer (Windows) op 'Ok' te klikken? Als je hier over valt (vooral onder Windows) moet je je misschien ook afvragen wat voor nut dialoogvensters in het algemeen hebben? Ik weet het antwoord hier wel op.

De discussie is niet zo onzinnig als je zou denken. Er komt namelijk ook een stuk usability bij kijken. Dat Windows Vista laat bijvoorbeeld zien dat iets als UAC ook onnodig door kan schieten waardoor het gebruikers erg hindert en ze het uiteindelijk uitschakelen. Vanuit security oogpunt is dat nou niet bepaald wenselijk afgezien van het feit dat iets als UAC dan al compleet zinloos is. Het is wat zinniger om het over dat soort dingen te hebben (dus wanneer kom je met zo'n dialog en wanneer niet) dan dat je gaat discussiëren of het wel/niet zou moeten (dat antwoord is vrij unaniem: ja dat moet).

gambieter schreef op zondag 03 januari 2010 @ 23:38:
[...]

Ik heb er ook geen interesse in . Ik wil namelijk een OS waar ik als eigenaar in kan kloten.

Dat kan toch prima met linux (en windows)? Je moet alleen even zorgen dat je de juiste rechten hebt. Als je in staat was je besturingssysteem zelf te installeren dan heb je en een normale account en een manier om rootrechten te krijgen. Het enige wat deze rechten doen is je bewust maken dat je iets wilt gaan doen wat mogelijk grote gevolgen kan hebben. Het voorkomt achteloze fouten van jezelf en eventuele andere mensen die je computer gebruiken.

Als je op het congres niet genoeg rechten had om wireless internet te krijgen, dan kan je dat als feedback aan je systeembeheerder geven. Hij kan dan de volgende keer die instellingen handiger maken. Jammer voor dat moment (op je hotelkamer hadden ze misschien wel een draadje voor je gehad), voor de rest niet rampzalig (subjectief gezien misschien wel, praatjes op congressen kunnen dodelijk saai zijn en gotten kan verlichting bieden).

Sallin schreef op maandag 04 januari 2010 @ 17:51:
Dat kan toch prima met linux (en windows)? Je moet alleen even zorgen dat je de juiste rechten hebt. Als je in staat was je besturingssysteem zelf te installeren dan heb je en een normale account en een manier om rootrechten te krijgen. Het enige wat deze rechten doen is je bewust maken dat je iets wilt gaan doen wat mogelijk grote gevolgen kan hebben. Het voorkomt achteloze fouten van jezelf en eventuele andere mensen die je computer gebruiken.

Oh, nu kan het. Maar het voorstel was dat niet mogelijk te maken, en daar ben ik tegen .

Als je op het congres niet genoeg rechten had om wireless internet te krijgen, dan kan je dat als feedback aan je systeembeheerder geven. Hij kan dan de volgende keer die instellingen handiger maken. Jammer voor dat moment (op je hotelkamer hadden ze misschien wel een draadje voor je gehad), voor de rest niet rampzalig (subjectief gezien misschien wel, praatjes op congressen kunnen dodelijk saai zijn en gotten kan verlichting bieden).

Ik sta al op de zwarte lijst bj onze ICT, ik weet te veel en ben te handig

ppl schreef op maandag 04 januari 2010 @ 17:06:
[...]

Sja, daarvoor zul je een compleet nieuw OS from scratch moeten gaan schrijven. Het kan gewoon niet anders voor thuisgebruikers. Het betekent niet dat ze ook continu met zo'n account moeten werken omdat je prima een useraccount kunt maken die alleen user is en eentje waarmee je installaties kunt doen. Dat kan in Windows echter ook. Deze manier van werken is alleen lastig en omslachtig, althans, zo ervaren veel mensen het.

Ik ga er even vanuit dat jij wel Unix kent.

Unix is gericht op eigenlijk drie groepen: Developers, Sysadmins, Gebruikers. De eerste is hier niet van toepassing.

Sysadmins kunnen hun ding doen, i.e. een systeem installeren, configuratie's aanpassen, etc.

Gebruikers kunnen hun ding doen, i.e. spelletjes spelen, tekst tikken, etc.

In Linux is de tendens om dit steeds meer te laten vervagen. Er zijn GUI's gemaakt om allerlei sysadmin taken te doen. IP configuratie aanpassen, DNS resolver instellen, gebruikers aanmaken, updates installeren, en nog veel meer shit. Er zal straks wel iemand met het geweldige idee komen om een GUI te schrijven voor sysctl( om zo ip forwarding makkelijk te maken voor de gemiddelde thuis gebruiker. Dit alles is om een heleboel redenen onveilig.

In dit topic had iemand zelfs het -- absoluut bezopen -- idee om Nautilus de mogelijkheid te geven om als superuser te laten draaien.

Ik vind dit een slecht idee. Ik zie niet in waarom deze grens niet behouden kan blijven.

Dat is wat ik probeer uit te leggen. Hier is absoluut geen nieuw OS voor nodig.

[...]

Wat moet er dan precies anders? Houdt hierbij wel het huidige ontwerp van Linux in de gedachten!
De rest van je verhaal gaat op voor ieder stuk software, zowel het OS als de applicaties maar hoofdzakelijk voor applicaties. Erg lastig omdat je verschillende soorten thuisgebruikers hebt waarbij de ene wat meer kennis heeft dan de ander. Hoe los je dat verschil in kennis op?

Ik heb het dus over twee groepen.

Je denkt teveel vanuit een office omgeving waarbij users geen systeembeheer taken hebben. Voor thuisgebruikers gaat dit echter niet op. Het is ook helemaal niet wenselijk om dat zo te doen, daarmee ondermijn je ook direct de gedachte achter iets als Linux: vrijheid voor de gebruiker. Daarmee ontzeg je feitelijk iemand z'n recht op zelfbeschikking als het ook al geen overtreding is van het consumentenrecht is. Het tornen aan fundamentele rechten van consumenten en burgers is iets dat van de zotte, not done en verwerpelijk is afgezien van illegaal.

Neem maar is een kijkje in het Burgerlijk wetboek. Hier is een linkje voor je: http://www.wetboek-online.nl/wet/index.html Het is voornamelijk BW7 en een stukje BW8.

Ik denk dat je me verkeerd begrijpt. Ik ben er voor om deze grens tussen sysadmins en gebruikers te laten bestaan. Natuurlijk moet je wel je volledige toegang krijgen tot een systeem wat je koopt (Je hebt fysieke toegang, dus dat heb je sowieso wel)

Met zo'n redenering begin ik me af te vragen of je überhaupt wel besef van realiteit hebt. Ja het is erg grof gezegd maar het is even grof om alle gebruikers maar over 1 kam te scheren en ze hun recht op zelfbeschikking e.d. maar te ontzeggen. Wie heeft er nou voor die computer betaald? Wat staat er in de wet dat men van zo'n product mag verwachten? Exact, zij hebben het gekocht en de wet meldt dat zij dan ook een goed werkend product mogen verwachten. Het niet kunnen instellen van de machine zodat deze ook werkt gaat daar lijnrecht tegenin

Ik vind het wel een groot verschil als je stelt dat gebruikers die een computer aanschaffen of een installatie doen weinig moeite hoeven te doen op gebied van partitioneren en ip-adressen instellen (gezien de vele soho oplossing met dhcp is dat sowieso al iets waarbij ik me afvraag hoe je daar bij komt...ok ok, als een helpdesk je dat verzoekt en je door de procedure praat kan ik het me voorstellen). Ook voor systeembeheerders is zoiets wel erg prettig zolang je ook maar de mogelijkheid hebt voor een knopje "advanced" om het daarna allemaal wel te kunnen. Gemak dient de mens en zowel systeembeheerder en gebruiker zijn mens. Die nieuwe Ubuntu installer is daarom ook geen bullshit omdat hij niet gericht is op systeembeheerders. Mocht je moeilijk willen dan kun je altijd nog de andere installer mogelijkheid kiezen en die iso downloaden. Je bent echt niet beperkt tot die nieuwe installer op die live cd.

Zie hierboven.

Verwijderd schreef op maandag 04 januari 2010 @ 14:42:
Wat doe je in NOS eigenlijk? Lunix fanbois pesten? (is heel leuk overigens)

Ik vind dit een interessante discussie. Mij maakt het subforum niet uit .

Maar zomaar beheerdersrechten geven aan thuisgebruikers werkt ook niet. Kijk maar naar Windows.

Het werkt bij heel veel mensen, en werkt steeds beter, bij Windows 7 lijkt het al aardig te werken. Verre van perfect, maar het werkt.

Zoals ik al zei, ik denk dat het beter is om bepaalde taken aan gebruikers te geven. Ik heb natuurlijk niet direct een oplossing hiervoor. Maar om thuis gebruikers gewoon maar een heleboel knopjes geven om in te rammen is IMO geen oplossing.

Een waarschuwing eraan hangen is goed genoeg imo. Willen ze het dan toch verkloten, tja.

Natuurlijk kan de eigenaar van de computer wel de login gegevens van root krijgen. Maar om voor alle taken van root maar een GUI te bouwen vind ik een slecht idee.

En de eigenaar van de PC moet verteld worden als hij als superuser inlogged dat hij het systeem kan verneuken.

De meeste dingen die genoemd worden (IP-instellingen veranderen, programma's installeren) horen een computer niet naar de kloten te krijgen. Het wordt pas een probleem bij illegale software, virussen etc, en daar is iemand standaard als user zonder adminrechten installeren een goed idee. Maar als die persoon dan toch dom wil doen, tja.

Verwijderd schreef op maandag 04 januari 2010 @ 19:05:
[...]
Ik heb het dus over twee groepen.

Als mijn oma een laptop aanschaft om via email / webcam contact met de kids en kleinkids te houden, wie is dan de 2e groep die dat ding installeert en onderhoud etc?

Het simpele onderhoud ( apt-get update etc ) wordt steeds belangrijker om regelmatig te doen ( Of jij moet er vrolijk van worden dat er x maanden lang virussen / hacks rondzwerven die gewoon al lang gelden gepatched zijn ).

Ik zie die 2e groep gewoon absoluut niet bij de thuisgebruiker die enkel inetten, mailen en webcammen, en elke maand een x uurtarief betalen aan een winkel / specialist om het onderhoud te doen zie ik ook niet echt van de grond komen.
En zonder die 2e groep is het of geen onderhoud of het onderhoud kinderlijk eenvoudig maken door GUI-tools etc.

Maar ik ben en blijf benieuwd waar jij die 2e groep uit ziet bestaan, die moet er namelijk voor iedereen met een computer zijn...

gambieter schreef op maandag 04 januari 2010 @ 19:16:
[...]

Ik vind dit een interessante discussie. Mij maakt het subforum niet uit .

[...]

Het werkt bij heel veel mensen, en werkt steeds beter, bij Windows 7 lijkt het al aardig te werken. Verre van perfect, maar het werkt.

Ik heb onlangs Windows7 anders goed vervloekt. M'n pa heeft een nieuwe laptop met Windows7 en de enige manier waarop desktop sharing en network-drives aan de gang kon krijgen, was door een gebruikers-account in te stellen met een wachtwoord... Gevolg, hij is als enige gebruiker van beide computers verplicht elke keer met een wachtwoord in te loggen, iets waar hij helemaal niet op zit te wachten, en ook eigenlijk compleet zinloos is... Inloggen op een share of desktop en dan pas het wachtwoord invoeren is niet mogelijk...

[...]

Een waarschuwing eraan hangen is goed genoeg imo. Willen ze het dan toch verkloten, tja.

[...]

De meeste dingen die genoemd worden (IP-instellingen veranderen, programma's installeren) horen een computer niet naar de kloten te krijgen. Het wordt pas een probleem bij illegale software, virussen etc, en daar is iemand standaard als user zonder adminrechten installeren een goed idee. Maar als die persoon dan toch dom wil doen, tja.

IP-instellingen veranderen is onder linux meestal al geen admin-taak meer. Onder Ubuntu kan je met networkmanager heel veel al regelen, alleen het vastzetten van een ip-adres vereist super-user-rechten, en geheel terecht. Dat laatste kan er namelijk voor zorgen dat je netwerk plat gaat.
Het installeren van software gaat ook vaak net even wat dieper het systeem in dan de meesten zullen verwachten. Onder linux kan je gewoon een binairy in je gebruikersmap plaatsen en uitvoeren. Sterker nog, je kan zelfs gewoon software compileren zonder speciale rechten, zolang de tools maar beschikbaar zijn. Alleen installeren op het systeem kan niet zonder super-user-rechten.

Het mooie aan linux (behalve Ubuntu, die het een beetje om zeep heeft geholpen), is dat je een gebruiker lid maakt van bepaalde groepen. Het lidmaatschap van die groepen bepaald hoeveel rechten een gebruiker heeft.
Het probleem is inderdaad wel wie het beheerd. Daarin is het systeem van Ubuntu wel weer sterk. Als gebruiker werk je in een veilige omgeving waarin je het systeem niet kan verknallen, en als er super-user-rechten nodig zijn, kan dat vaak met 1 klik.

Ik gebruik nu al jaren linux, maar in mijn windows tijd gaf ik mezelf standaard admin-rechten, want even iets doen waarvoor meer rechten nodig waren, was lastig. Onder linux gaat dat toch een stuk makkelijker. Moet ik iets doen waarvoor er langere tijd super-user-rechten nodig zijn, dan kan dat ook doormiddel van een terminal-sessie. Maar wat onder bijna geen enkele linux distro kan, is zomaar als root werken. Daardoor blijft het systeem vrijwel altijd afgeschermd. Sinds ik linux gebruik, draai ik dus eigenlijk altijd als gebruiker met beperkte rechten en ik vind het lang niet zo hinderlijk als hoe het in Windows geregeld is.

Wat betreft port-forwarding, daarvoor is al enige tijd geleden uPNP uitgevonden. Met een router die dat ondersteund is port-forwarding handmatig instellen overbodig.

Zeker bij linux merk ik toch wel heel sterk dat de main-stream distro's steeds gebruiksvriendelijker worden. Ubuntu draait op alle pc's waar ik het tot nu toe op heb gezet, direct met vrijwel volledige hardware ondersteuning (alleen de oude videokaarten draaien niet optimaal, maar dat wil zelfs met een hardcore distro als Gentoo niet meer). Er is daarom ook steeds minder noodzaak om tijdens het werken nog super-user-rechten nodig te hebben. En laten we eerlijk zijn, hoe vaak wil een gemiddelde gebruiker nieuwe software installeren?

Een mooie stap zou zijn om gebruikerssoftware te kunnen installeren onder de gebruiker, of op systeem niveau, naar gelang de beveiliging. Zo kan het basis-systeem afgeschermd blijven. Op gebruikersniveau kan dan zonder wachtwoord geïnstalleerd worden, voor systeem niveau zijn super-user-rechten nodig.

Interessant topic, en iets wat ik me ook al een tijdje afvraag. Ik gebruik al zeker 13 jaar Linux, en heb nooit de behoefte gevoeld om grafisch als root in te loggen. Wel op console, en uiteraard ook via su - in een xterm, maar nooit alles.
Er komt namelijk een tijd dat je een foutje maakt, en je systeem om zeep helpt. Erg jammer dat mensen security zo licht opvatten, en daarmee de veilige standaard nutteloos maken.

Gomez12 schreef op maandag 04 januari 2010 @ 20:46:
[...]

Als mijn oma een laptop aanschaft om via email / webcam contact met de kids en kleinkids te houden, wie is dan de 2e groep die dat ding installeert en onderhoud etc?

Het simpele onderhoud ( apt-get update etc ) wordt steeds belangrijker om regelmatig te doen ( Of jij moet er vrolijk van worden dat er x maanden lang virussen / hacks rondzwerven die gewoon al lang gelden gepatched zijn ).

Ik zie die 2e groep gewoon absoluut niet bij de thuisgebruiker die enkel inetten, mailen en webcammen, en elke maand een x uurtarief betalen aan een winkel / specialist om het onderhoud te doen zie ik ook niet echt van de grond komen.
En zonder die 2e groep is het of geen onderhoud of het onderhoud kinderlijk eenvoudig maken door GUI-tools etc.

Maar ik ben en blijf benieuwd waar jij die 2e groep uit ziet bestaan, die moet er namelijk voor iedereen met een computer zijn...

Maar oma kan wel een update uitvoeren dan? Ja, het de update knop inrammen gaat prima, maar wat nu als er een configuratie file is verandert? Opent oma dan nautilus als root en gaat op zoek naar die configuratie files, opent even de man page in xman en wijzigt de configuratie file?

ik denk het niet.

Verwijderd schreef op maandag 04 januari 2010 @ 23:11:

Maar oma kan wel een update uitvoeren dan? Ja, het de update knop inrammen gaat prima, maar wat nu als er een configuratie file is verandert? Opent oma dan nautilus als root en gaat op zoek naar die configuratie files, opent even de man page in xman en wijzigt de configuratie file?

ik denk het niet.

Of oma weet wat ze doet en kan inderdaad aanpassingen maken die nodig zijn (windows of linux in principe equivalent), of oma weet niet wat ze doet en kan met achteloos klikken haar systeem om zeep helpen. Als oma niet weet wat ze doet kan ze beter geen administrator rechten hebben en aan degene die de computer geinstalleerd heeft vragen om updates te installeren.

Hierbij komt onder andere de vraag naar voren hoe belangrijk updates zijn. Ik denk dat securityupdates belangrijk zijn, maar software-updates meestal niet (alleen als er een erg hinderlijke bug in zit waar oma toevallig altijd tegenaan loopt (kan het mis hebben hoor)). Bij securityupdates hoef je, als thuisgebruiker, meestal niet nog eens configbestanden aan te passen omdat er meestal gestreeft wordt om ze backwards compatible te houden. (Ik heb meestal geschreven, omdat ik het niet zeker weet.)

Nu ik er zo over na denk, als jouw oma aan mij vraagt wat voor OS ze op haar computer zou moeten zetten dan zou ik haar debian stable aanraden (eventueel met backports voor recentere software). Software zonder release-critical bugs, erg weinig updates (point-updates en, als nodig, een beveiligingsupdate). Die updates zou je automatisch kunnen laten installeren, of wanneer ze uitgekomen zijn, handmatig via ssh.

Even een alias aangemaakt in BV (dank je salin)

Sallin schreef op dinsdag 05 januari 2010 @ 09:02:
[...]


Of oma weet wat ze doet en kan inderdaad aanpassingen maken die nodig zijn (windows of linux in principe equivalent), of oma weet niet wat ze doet en kan met achteloos klikken haar systeem om zeep helpen. Als oma niet weet wat ze doet kan ze beter geen administrator rechten hebben en aan degene die de computer geinstalleerd heeft vragen om updates te installeren.

Als oma weet wat ze doet kan ze ook een terminal openen en m.b.v su of sudo de IP configuratie of "whatever" aanpassen.

Verwijderd schreef op dinsdag 05 januari 2010 @ 11:38:
[...]


Als oma weet wat ze doet kan ze ook een terminal openen en m.b.v su of sudo de IP configuratie of "whatever" aanpassen.

Dat zeg ik toch ook in de eerste regel van mijn post?

@Pim. geen probleem

[ Voor 6% gewijzigd door Sallin op 05-01-2010 11:42 ]

Verwijderd schreef op dinsdag 05 januari 2010 @ 11:38:
Als oma weet wat ze doet kan ze ook een terminal openen en m.b.v su of sudo de IP configuratie of "whatever" aanpassen.

Dat is niet waar, in Linux weet ik vaak wel precies wat ik wil doen, maar niet hoe ik dat moet doen.

Sallin schreef op dinsdag 05 januari 2010 @ 11:42:
[...]

Dat zeg ik toch ook in de eerste regel van mijn post?

@Pim. geen probleem

Oh right. Ik werd verward omdat het in Windows imo anders. nvm dan

Verwijderd schreef op maandag 04 januari 2010 @ 23:11:
[...]


Maar oma kan wel een update uitvoeren dan? Ja, het de update knop inrammen gaat prima, maar wat nu als er een configuratie file is verandert? Opent oma dan nautilus als root en gaat op zoek naar die configuratie files, opent even de man page in xman en wijzigt de configuratie file?

ik denk het niet.

Hoe groot acht jij de kans dat je oma een groot probleem krijgt omdat ze geen update's uitvoert? Er zijn in de wereld nog altijd windows95 of 98 machines te vinden. Die staan bol van de beveiligingslekken. De meeste lekken die ik in Linux tegen kom zijn bijna exploits van netwerk- of internet-applicaties en betreffen over het algemeen niet de programma's die oma zal gebruiken (ik ga er niet vanuit dat ze Apache bijv. draait).
Daarnaast zijn er voor de exploits vaak rechtstreekse internet toegang nodig, iets wat zeker tegenwoordig bijna nooit meer voorkomt, zeker niet bij thuis gebruikers (er hangt bijna altijd een router tussen die werkt op het NAT-principe en dus rechtstreekse aanvragen vanaf het internet blokt).

En Ubuntu of Debian kan je bijv. zo instellen dat security-updates altijd automatisch geïnstalleerd worden, en volgens mij is dit zelfs de standaard instelling.

Mijn ervaring is inmiddels dat met normaal gebruik, je absoluut geen super-user rechten meer nodig hebt onder een OS als linux.
En als ze wel nodig zijn, veranderd er iets aan het systeem. Zie het als hetzelfde dat je een wachtwoord in moet voeren om in je router te komen, of zelfs om de instellingen van je digitale kabel ontvanger te mogen wijzigen. Voor niet dagelijkse zaken is het absoluut niet nodig om meer rechten te hebben dan een gewone gebruiker.

deepbass909 schreef op dinsdag 05 januari 2010 @ 12:06:
[...]


Hoe groot acht jij de kans dat je oma een groot probleem krijgt omdat ze geen update's uitvoert? Er zijn in de wereld nog altijd windows95 of 98 machines te vinden. Die staan bol van de beveiligingslekken. De meeste lekken die ik in Linux tegen kom zijn bijna exploits van netwerk- of internet-applicaties en betreffen over het algemeen niet de programma's die oma zal gebruiken (ik ga er niet vanuit dat ze Apache bijv. draait).
Daarnaast zijn er voor de exploits vaak rechtstreekse internet toegang nodig, iets wat zeker tegenwoordig bijna nooit meer voorkomt, zeker niet bij thuis gebruikers (er hangt bijna altijd een router tussen die werkt op het NAT-principe en dus rechtstreekse aanvragen vanaf het internet blokt).

Ik denk dat updates wel regelmatig moeten worden gedaan.

Het verschilt een beetje per OS, maar in Linux was laatst bijvoorbeeld weer een privilege escalation (NULL pointer dereference), gelukkig was die voor een deel van de distro's niet van toepassing (omdat je mmap voor address 0 uit staat) maar als je bijvoorbeeld in Ubuntu Wine geinstalleerd had was je alsnog fucked.

Of was dat een bug in de TCP/IP stack? (ik weet het niet meer zeker)

En dat soort bugs komen in Linux nog redelijk vaak langs. Dus als er dan een bug in firefox, nautilus, of een ander groot programma, dan zou je het systeem alsnog kunnen overnemen van afstand.

In OpenBSD is dit volgens mij al een groot aantal jaar niet meer het geval (Ik heb geen idee hoeveel). Maar om nou helemaal geen updates te installeren lijkt mij niet zo'n goed idee.

En Ubuntu of Debian kan je bijv. zo instellen dat security-updates altijd automatisch geïnstalleerd worden, en volgens mij is dit zelfs de standaard instelling.

Mijn ervaring is inmiddels dat met normaal gebruik, je absoluut geen super-user rechten meer nodig hebt onder een OS als linux.
En als ze wel nodig zijn, veranderd er iets aan het systeem. Zie het als hetzelfde dat je een wachtwoord in moet voeren om in je router te komen, of zelfs om de instellingen van je digitale kabel ontvanger te mogen wijzigen. Voor niet dagelijkse zaken is het absoluut niet nodig om meer rechten te hebben dan een gewone gebruiker.

Persoonlijk ben ik er niet echt voor om automatisch updates te installeren. Er zijn nogal wat problemen mee namelijk. Als er een kernel update is herstart je de machine dan automatisch? hoe controleer je de authenticiteit van de mirrors waarvan je de updates installeert? herstart je de processen als er een update binnen is? want dan kan je zomaar iemand z'n werk verneuken. En als een update op een of andere reden niet goed gaat wat doe je dan? een melding "De computer heeft je systeem verneukt, zoek maar een sysadmin"?

Verwijderd schreef op dinsdag 05 januari 2010 @ 13:13:
Persoonlijk ben ik er niet echt voor om automatisch updates te installeren. Er zijn nogal wat problemen mee namelijk. Als er een kernel update is herstart je de machine dan automatisch? hoe controleer je de authenticiteit van de mirrors waarvan je de updates installeert? herstart je de processen als er een update binnen is? want dan kan je zomaar iemand z'n werk verneuken. En als een update op een of andere reden niet goed gaat wat doe je dan? een melding "De computer heeft je systeem verneukt, zoek maar een sysadmin"?

Ik zou zeggen: kijk toch eens bij Debian stable (of andere hele stabiele distros). Een kernelupdate is alleen interessant als je de functionaliteit van de nieuwe kernel nodig hebt. Authenticiteit van de mirror wordt met keyrings onder controle gehouden. Processen worden automatisch herstart bij update. En een update sloopt dus je systeem niet, want anders zouden ze stable niet stable noemen. Als je wilt kan je de point releases handmatig installeren.

quote: http://en.wikipedia.org/wiki/Debian#Distributions

Stable, currently aliased lenny, is the current release that has stable and well tested software. Stable is made by freezing testing for a few months where bugs are fixed in order to make the distribution as stable as possible; then the resulting system is released as stable. It is updated only if major security or usability fixes are incorporated.

Sallin schreef op dinsdag 05 januari 2010 @ 14:29:
[...]


Ik zou zeggen: kijk toch eens bij Debian stable (of andere hele stabiele distros). Een kernelupdate is alleen interessant als je de functionaliteit van de nieuwe kernel nodig hebt. Authenticiteit van de mirror wordt met keyrings onder controle gehouden. Processen worden automatisch herstart bij update. En een update sloopt dus je systeem niet, want anders zouden ze stable niet stable noemen. Als je wilt kan je de point releases handmatig installeren.

Ik ben voornamelijk bekend met Ubuntu als desktopsysteem. Dus misschien klopt het wat ik zeg niet voor Debian.

Apache en een paar andere daemons worden idd herstart bij een package upgrade. (Zelfs bij het rotaten van de log files krijgt apache een schop! Als zondag ochtend opeens apache ermee stopt, daarom Maar andere pakketten zoals Firefox, Openoffice, bla worden niet herstart bij een upgrade.

In Ubuntu worden updates automatisch op de achtergrond geinstalleerd,als jij zo'n programma open hebt staan zal het programma crashen of vreemde staat terecht komen (.e.g vreemde ouput geven). Dit komt doordat wat in het geheugen zit niet meer overeenkomt met wat op de disk staat. Dus als firefox dan z'n Bookmark manager opent en de XUL files probeert te lezen (De Firefox interface wordt opgebouwd uit XML XUL files) zal dat waarschijnlijk mis gaan.

En persoonlijk vind ik dat geen goede oplossing.

En de Kernel moet je natuurlijk ook kunnen updaten, want daar zitten ook wel is fouten in...

Ik heb nog geen fatsoenlijke automatische-upgrade-shit implementatie gezien.

[ Voor 6% gewijzigd door Verwijderd op 05-01-2010 20:19 . Reden: Ik had honger, daardoor had ik wat spelfauten en slechte zinnen gemaakt. Even verbeterd. ]

Verwijderd schreef op dinsdag 05 januari 2010 @ 17:37:
In Ubuntu worden updates automatisch op de achtergrond geinstalleerd,als jij zo'n programma open hebt staan zal het programma crashen of vreemde staat terecht komen (.e.g vreemde ouput geven). Dit komt doordat wat in het geheugen zit niet meer overeenkomt met wat op de disk staat. Dus als firefox dan z'n Bookmark manager opent en de XUL files probeert te lezen (De Firefox interface wordt opgebouwd uit XML XUL files) zal dat waarschijnlijk mis gaan.

Is dat speculatie of heb je dat echt ervaren?
Want als security updates al zo'n XUL file updaten, zal dat waarschijnlijk niet op een incompatible manier gebeuren.
Sommige kernel updates vereisen tegenwoordig niet eens een reboot meer...

Ubuntu geeft bij elke update van firefox aan dat firefox opnieuw moet worden opgestart. Als ik deze melding negeer krijg ik idd soms rare bugs in de interface van firefox.

Gotiniens schreef op dinsdag 05 januari 2010 @ 21:54:
Ubuntu geeft bij elke update van firefox aan dat firefox opnieuw moet worden opgestart. Als ik deze melding negeer krijg ik idd soms rare bugs in de interface van firefox.

Is dat een auto-update fout of gewoon een user-fout, je hebt de melding gekregen maar genegeerd...

Auto-update gaat nooit perfect worden zolang het handmatig gerund moet worden, je zou iets van een daemon kunnen verzinnen die elke minuut kijkt of er nergens meer de applicatie draait en dan de update doorvoeren ( na eerst vliegensvlug de applicatie geblokkeerd te hebben ).
Maar in een omgeving met xxx gebruikers kan je met handmatige opgestarte updates nooit iets updaten als hij bij elke stap moet controleren of de applicatie niet tussentijds opgestart is.

Als jij gewoon de melding volgt dan gaat er niets fout en werkt de auto-update goed.

Gomez12 schreef op dinsdag 05 januari 2010 @ 22:07:
[...]

Is dat een auto-update fout of gewoon een user-fout, je hebt de melding gekregen maar genegeerd...

Auto-update gaat nooit perfect worden zolang het handmatig gerund moet worden, je zou iets van een daemon kunnen verzinnen die elke minuut kijkt of er nergens meer de applicatie draait en dan de update doorvoeren ( na eerst vliegensvlug de applicatie geblokkeerd te hebben ).
Maar in een omgeving met xxx gebruikers kan je met handmatige opgestarte updates nooit iets updaten als hij bij elke stap moet controleren of de applicatie niet tussentijds opgestart is.

Als jij gewoon de melding volgt dan gaat er niets fout en werkt de auto-update goed.

IMO is het zelfs een firefox bug. al mijn andere applicaties blijven draaien terwijl ze geupgrade worden, waarom firefox dan niet? Ik kan hem moeilijk gelijk afsluiten en belangrijke info kwijtraken. Dus moet ik even wachten tot ik alles heb afgehandeld.

Je hebt een draaiende enduser app in memory, en je vervangt de on-disk binary (en/of andere componenten).
Op dat moment introduceer je een unknown state in je enduser app, want delen in mem zijn versie X en on disk al versie Y.
En het boeit echt niet of het nou .so of .dlls zijn in dat geval, dan wil je zo snel mogelijk van die unknown state af en dat betekent een herstart van je app,

[ontopic]
Nee je hebt geen permanente root rechten nodig. Ook niet meer onder Windows.

Vandaar dat je sinds NT 6.0 versies met een useraccount werkt die misschien wel Administrator is, maar de privileges pas toegekend krijgt wanneer dat nodig is (lees: full administrative privileges krijg je pas na die vermaledijde UAC prompt).
Tot die tijd werk je met een gestripte Admin/root account.

En da's even wennen voor een aantal mensen die nog steeds de wintendo (win32 on 16bits DOS) mindset hebben.
Mensen die met een NT variant groot zijn geworden zitten veel dichter tegen *nix denken aan dan de meesten hier doorhebben.

[ Voor 44% gewijzigd door alt-92 op 05-01-2010 22:23 ]

Gotiniens schreef op dinsdag 05 januari 2010 @ 21:54:
Ubuntu geeft bij elke update van firefox aan dat firefox opnieuw moet worden opgestart. Als ik deze melding negeer krijg ik idd soms rare bugs in de interface van firefox.

Zijn dat security updates? Of draai je geen Ubuntu stable?

Gomez12 schreef op dinsdag 05 januari 2010 @ 22:07:
Auto-update gaat nooit perfect worden zolang het handmatig gerund moet worden, je zou iets van een daemon kunnen verzinnen die elke minuut kijkt of er nergens meer de applicatie draait en dan de update doorvoeren ( na eerst vliegensvlug de applicatie geblokkeerd te hebben ).

Nee, de oplossing is om meerdere versies tegelijk te (kunnen) installeren. Dan start je gewoon altijd de meest recente en heb je als bonus dat je eenvoudig terug kunt naar een oudere versies indien nodig.

[ Voor 46% gewijzigd door Olaf van der Spek op 05-01-2010 22:45 ]

Olaf van der Spek schreef op dinsdag 05 januari 2010 @ 21:31:
[...]

Is dat speculatie of heb je dat echt ervaren?
Want als security updates al zo'n XUL file updaten, zal dat waarschijnlijk niet op een incompatible manier gebeuren.
Sommige kernel updates vereisen tegenwoordig niet eens een reboot meer...

Ik zal 't straks of morgen is wat beter bekijken.

Hoe ik heb begrepen dat het werkt is dat unattended-upgrade( via cron updates installeert een keer per dag.

En ik heb dit idd wel getest. Maar ik heb wel wat shortcuts genomen waarvan ik dacht dat ze wel konden, maar misschien heb ik een aantal environment variables over het hoofd gezien oid als jij denkt dat het anders is.

Ik kreeg die dialog niet. Ik neem aan dat die dialog verschijnt voordat de firefox upgrade gestart is? want daarna is het natuurlijk te laat. Dan is je werk al verneukt.

Olaf van der Spek schreef op dinsdag 05 januari 2010 @ 22:43:
[...]

Nee, de oplossing is om meerdere versies tegelijk te (kunnen) installeren. Dan start je gewoon altijd de meest recente en heb je als bonus dat je eenvoudig terug kunt naar een oudere versies indien nodig.

Dan kom je weer in conflict met de enterprise users. Die willen niet automatisch meerdere versies hebben ( wel een mogelijkheid maar dat is een andere discussie ), die willen 1 versie hebben die overal staat / draait ongeacht of de gebruiker nu al een half jaar ingelogd staat en FF open liet staan of dat hij 2 sec geleden inlogde.

Nog even het ruimteprobleem daargelaten ( wordt steeds minder, maar als je consequent oudere versies laat staan ben ik wel eens benieuwd hoeveel ruimte die oudere versies op een 2 jaar oude pc inneemt )

Je zit dan ook nog met een user-settings-probleem ( of moeten die eerst ook maar even gebackupt worden ), welke settings gelden nu voor de nieuwste app en welke voor de oudere.

Voor het compleet meerdere versies tegelijk te kunnen installeren moet je wel heel erg veel uitzonderingen als programmeur maken.
Toen ik vroeger nog wel eens debian testing ( of unstable, wat was ook alweer de meest beta ) draaide hadden sommige apps daily updates, dat wil je echt niet allemaal opslaan met versioning etc als je ook de user-data erbij gaat pakken.
Veel software is enkel backwards compatible ( een app kan wel settings lezen van een oudere versie, maar niet van een nieuwere versie )

Olaf van der Spek schreef op dinsdag 05 januari 2010 @ 22:43:
[...]

Zijn dat security updates? Of draai je geen Ubuntu stable?

[...]

Nee, de oplossing is om meerdere versies tegelijk te (kunnen) installeren. Dan start je gewoon altijd de meest recente en heb je als bonus dat je eenvoudig terug kunt naar een oudere versies indien nodig.

Net zoals Java?
Je installeert de update maar je bent eigenlijk nog steeds vulnerable omdat de software nog op je systeem staat. Ok het start niet standaard op maar het is aanroepbaar.

De meeste updates van de MS/*nix programma's zijn security updates. Je hebt dan geen meerdere versies nodig. Want de oude is niet betrouwbaar.

---

Over de algemeenheid van het topic, Ubuntu doet het afaik redelijk goed. Die vraagt alleen voor updates en grote systeem wijzigingen om root. (iirc is al een tijdje gelegen)

Imho hoort ubuntu ook niet op een office pc(of enterprise) maar je kies je daar eerder voor SuSe of redhat.

Ik ben in mijn mening een redelijke linux noob, maar ik heb mij wel de CLI aangeleerd. CLI werkt sneller en efficiënter. Wat is sneller iets sudoén of moeilijk gaan doen met de muis.
Ik denk ook dat het oude image blijft bestaan, linux = typen, windows = klikken. Ook al begin in in windows ook steeds meer commandprompt te gebruiken, door de shell extensions bugs (explorer.exe crashes in W7) als ik bepaalde files wil openen of deleten... waarom niet even snel cd c:\users\$naam\downloads {enter} rem bestand.exe {enter} ?

LuckyY schreef op dinsdag 05 januari 2010 @ 23:19:
[...]

Net zoals Java?
Je installeert de update maar je bent eigenlijk nog steeds vulnerable omdat de software nog op je systeem staat. Ok het start niet standaard op maar het is aanroepbaar.

Dat was tot 1.6.0.12 wel zo, sindsdien is (eindelijk!) de default setting patch the already present version.
De sidebyside installs moet je tegenwoordig geforceerd aangeven.

Over de algemeenheid van het topic, Ubuntu doet het afaik redelijk goed. Die vraagt alleen voor updates en grote systeem wijzigingen om root. (iirc is al een tijdje gelegen)

Imho hoort ubuntu ook niet op een office pc(of enterprise) maar je kies je daar eerder voor SuSe of redhat.

Ik ben in mijn mening een redelijke linux noob, maar ik heb mij wel de CLI aangeleerd. CLI werkt sneller en efficiënter. Wat is sneller iets sudoén of moeilijk gaan doen met de muis.
Ik denk ook dat het oude image blijft bestaan, linux = typen, windows = klikken

Je moet voor de gein eens nagaan hoeveel commandline utils er in de loop van 2000 > XP > Vista > 7 bij zijn gekomen of als vervanging van de GUI zijn aangeleverd.

vssadmin in Vista (commandline) was de enige manier waar je je shadow copy ruimte mee kon instellen.
Wat nou klikken?

alt-92 schreef op dinsdag 05 januari 2010 @ 23:29:
[...]

Dat was tot 1.6.0.12 wel zo, sindsdien is (eindelijk!) de default setting patch the already present version.
De sidebyside installs moet je tegenwoordig geforceerd aangeven.

Java versie's houd ik niet meer bij Gebruik nergens echt java meer... gebruikt een webapp toch java zoek ik een vervanger.

Je moet voor de gein eens nagaan hoeveel commandline utils er in de loop van 2000 > XP > Vista > 7 bij zijn gekomen of als vervanging van de GUI zijn aangeleverd.

vssadmin in Vista (commandline) was de enige manier waar je je shadow copy ruimte mee kon instellen.
Wat nou klikken?

En met de powershell is het nog beter geworden qua functies, echter was het even wennen dat bijvoorbeeld ipconfig /release ipconfig/renew niet mogelijk was zonder admin rechten in de CLI.

Toen ben ik maar CTRL+SHIFT+Enter gaan aanleren

----
Persoonlijk blijf ik er ook bij dat het een kwestie van gewenning is.

Gomez12 schreef op dinsdag 05 januari 2010 @ 23:03:
Dan kom je weer in conflict met de enterprise users. Die willen niet automatisch meerdere versies hebben ( wel een mogelijkheid maar dat is een andere discussie ), die willen 1 versie hebben die overal staat / draait ongeacht of de gebruiker nu al een half jaar ingelogd staat en FF open liet staan of dat hij 2 sec geleden inlogde.

Dan los je dat toch gewoon op?

Nog even het ruimteprobleem daargelaten ( wordt steeds minder, maar als je consequent oudere versies laat staan ben ik wel eens benieuwd hoeveel ruimte die oudere versies op een 2 jaar oude pc inneemt )

Je zit dan ook nog met een user-settings-probleem ( of moeten die eerst ook maar even gebackupt worden ), welke settings gelden nu voor de nieuwste app en welke voor de oudere.

Voor het compleet meerdere versies tegelijk te kunnen installeren moet je wel heel erg veel uitzonderingen als programmeur maken.
Toen ik vroeger nog wel eens debian testing ( of unstable, wat was ook alweer de meest beta ) draaide hadden sommige apps daily updates, dat wil je echt niet allemaal opslaan met versioning etc als je ook de user-data erbij gaat pakken.
Veel software is enkel backwards compatible ( een app kan wel settings lezen van een oudere versie, maar niet van een nieuwere versie )

Voor complexe GUI pakketten is dat inderdaad waar, er moet expliciet rekening mee worden gehouden. Maar dat zou niet verkeerd zijn.
Daemons en CLI utils schrijven over het algemeen niet naar config files.

Verwijderd schreef op maandag 04 januari 2010 @ 19:05:
[...]

Ik ga er even vanuit dat jij wel Unix kent.

Unix is gericht op eigenlijk drie groepen: Developers, Sysadmins, Gebruikers. De eerste is hier niet van toepassing.

Dat kan ieder OS zijn omdat je graag voor je OS ook software wil hebben dat ook beheert moet worden. Aan een OS heb je niets als er geen software voor is, niemand het gebruikt en het niet beheert wordt. De pijlers developers, sysadmins en gebruikers zijn dus cruciaal voor ieder OS, niet alleen UNIX. Ieder OS richt zich daar dan ook op. Bij Windows heeft dit het hilarische optreden van Steve Ballmer tot gevolg waarin hij al springend staat te schreeuwen "developers developers developers". Het gaat hierbij om OS/software design kennis, niet om UNIX/Linux/Windows kennis

Je kunt beter spreken van drie soorten gebruikers die met een OS bezig zijn en dan kom je inderdaad op de rollen developer, sysadmin en gebruiker uit. Ieder heeft zo zijn eigen set rechten. Het probleem bij thuis systemen wat maar niet tot je botte kop door wil dringen zit 'm in de rollen gebruiker en sysadmin. Bij thuisgebruikers zijn die rollen namelijk met elkaar verweven tot 1 persoon. De thuisgebruiker heeft dus de rol sysadmin EN de rol gebruiker. Dit is van cruciaal belang omdat men anders niets met de computer kan. Een spelletje spelen is namelijk alleen mogelijk als je de mogelijkheid hebt om deze te kunnen installeren. Je kunt deze rollen op geen enkele wijze los koppelen omdat je dan een gigantisch probleem creeert welke nog strafbaar is ook omdat je dan verboden koppelverkoop hebt. Mensen moeten dan om het ding te laten functioneren een sysadmin erbij kopen of dat als dienst van de winkel afnemen. Dat mag van de wet al niet. Dat levert overigens ook het probleem op dat de winkel platgelopen wordt en men fors in mensen moet gaan investeren om de vraag aan te kunnen. Het is ook een stervensdure oplossing omdat je dan voorrijkosten moet lappen plus uurloon. Dan is de oude computer het raam uitgooien en een nieuwe kopen even duur of zelfs goedkoper. Absoluut niet wenselijk.

In Linux is de tendens om dit steeds meer te laten vervagen.

Dat is niet zo raar aangezien Linux zich inmiddels ook op de gemiddelde gebruiker is gaan richten. Er zijn veel bedrijven die de concurrentie met Windows aan zijn gegaan middels hun Linux distro. In veel gevallen blijkt dat toch aardig succesvol te zijn en er is er gewoon vraag naar (niet zo veel maar de vraag lijkt licht stijgend te zijn).

Er zijn GUI's gemaakt om allerlei sysadmin taken te doen. IP configuratie aanpassen, DNS resolver instellen, gebruikers aanmaken, updates installeren, en nog veel meer shit. Er zal straks wel iemand met het geweldige idee komen om een GUI te schrijven voor sysctl( om zo ip forwarding makkelijk te maken voor de gemiddelde thuis gebruiker. Dit alles is om een heleboel redenen onveilig.

Mja, of je het nou op de commandline doet of in een GUI maakt niet zo gek veel uit. Voor de gebruiker die niet altijd zin heeft in de commandline is zoiets prettig. Overigens kan de gebruiker in dit geval ook de sysadmin zijn. Je ip-forwarding verhaal slaat noch kant noch wal, zoiets is zinloos op een werkstation, dat doe je op je router/firewall. Je sysctl security verhaal gaat ook totaal niet op. Je pakt de terminal en doet klakkeloos een howto na en hopsa, probleem. Of daar nou een GUI omheen zit of niet maakt niet uit. Ook hier geldt weer dat je het moet afschermen middels bepaalde rechten wat ook gewoon gebeurd. Dat iets achter een wachtwoordje zit en alleen op de commandline te gebruiken is geeft dan ook geen enkele garantie dat de boel daarmee niet stuk gemaakt kunnen worden. Veruit de meeste dingen gaan kapot omdat henkie denkt dat ie wel weet wat hij doet terwijl dat niet zo is. Overmoedigheid heet zoiets. Dat soort gajes (zo noem ik het maar even) weet het ook gewoon stuk te maken, ook al zijn het dingen die op de commandline moeten gebeuren. En dat is iets wat iedere sysadmin/helpdesksjaak je kan bevestigen.

In dit topic had iemand zelfs het -- absoluut bezopen -- idee om Nautilus de mogelijkheid te geven om als superuser te laten draaien.

Dat kan handig zijn voor bepaalde zaken. Soms is het wel fijn om bepaalde bestanden te kunnen drag 'n droppen, ook bestanden waar je andere rechten voor nodig hebt. Het continu draaien in die modus is niet erg zinvol. Je kunt dit trouwens ook wel ding middels een uitbreiding die iemand al eerder heeft aangestipt.

Ik vind dit een slecht idee. Ik zie niet in waarom deze grens niet behouden kan blijven.

Omdat je een enorm groot plank voor je ogen hebt zie je het niet in. Als je nou eens onder je steen vandaan kruipt, die plank voor je ogen wegsloopt en realistisch naar de zaak kijkt zul je zien dat het op juridisch vlak onmogelijk en ongewenst is alsmede op het praktisch vlak. Thuisgebruikers hebben geen sysadmin in de kast staan. Het kan niet, het wil niet, het mag niet, het is onwenselijk, onrealistisch, krankjorum en ontzettend dom. Punt.

Er zijn trouwens ook diverse manieren om screw ups op te vangen. Men noemt het veelal een backup maar Windows kent ook het systeem van herstelpunten. Prachtig hoe die dingen in bijv. MacOS X en Windows zijn geimplementeerd. Ook een Sun Solaris/OpenSolaris kent zo'n systeem dankzij ZFS. In Linux wereld is het ook niet vreemd, daar zijn ook al genoeg pakketten voor maar hierbij zou het handig zijn als men eens goed ging kijken naar een systeem zoals Time Machine in OS X en dat ZFS verhaal in OpenSolaris. Daarmee wordt een backup maken eenvoudiger en kan men heel eenvoudig ook weer een stapje terug in geval van een screw up. Van wat ik zo'n beetje heb gezien aan backup software in de Ubuntu repository lijkt het er ook op dat men aardig die kant op gaat.

Neem maar is een kijkje in het Burgerlijk wetboek. Hier is een linkje voor je: http://www.wetboek-online.nl/wet/index.html Het is voornamelijk BW7 en een stukje BW8.

Dat zijn inderdaad een aantal van de artikelen waar ik op doel.

Ik denk dat je me verkeerd begrijpt. Ik ben er voor om deze grens tussen sysadmins en gebruikers te laten bestaan. Natuurlijk moet je wel je volledige toegang krijgen tot een systeem wat je koopt (Je hebt fysieke toegang, dus dat heb je sowieso wel)

Ik begrijp je goed maar jij snapt niet (en lijkt dit ook niet te kunnen/te willen) wat voor implicaties dat allemaal heeft waardoor dit totaal niet realistisch en ook absoluut niet wenselijk is. Het is iets wat echt alleen maar werkt in een kantooromgeving waarbij gebruikers geen sysadmin rol hoeven te hebben. Thuis moeten ze die rol hebben omdat anders hun computer nagenoeg onbruikbaar is.

Olaf van der Spek schreef op woensdag 06 januari 2010 @ 00:16:
[...]

Dan los je dat toch gewoon op?

Je bedoelt door een systeem te introduceren als het huidige auto-update systeem?

[...]

Voor complexe GUI pakketten is dat inderdaad waar, er moet expliciet rekening mee worden gehouden. Maar dat zou niet verkeerd zijn.
Daemons en CLI utils schrijven over het algemeen niet naar config files.

Tja, het moet natuurlijk voor alles werken.
In mijn ervaring is updaten qua functionaliteit juist veelgebruikt bij de GUI-pakketten, voor grep maakt het mij niet uit of ik de nieuwste versie of die van 20 jaar terug heb, de nieuwste exotische opties gebruik ik toch niet.

Juist bij daemons / cli-utils doen de versies er niet echt toe, alles wat het gebruikt kan veelal toch met oudere versies overweg ( grep is universeel en daarom veelgebruikt, maar als ubuntu een nieuwe switch bedenkt ga ik daar standaard geen gebruik van maken, want alle scripts ed werken dan weer niet op hp/ux, dg/ux etc )

Qua security updates zijn de meeste daemons / cli-progs zo "simpel" geschreven dat er niet echt snel security gaten inzitten, de security updates zijn afaik dan ook laag.
Meeste security updates ( geen onderbouwing maar gewoon gevoel ) zitten juist in de complexere pakketten die wel config files etc gebruiken, omdat het testen van alle mogelijke complexe combinaties vaak "fout" gaat ( cq. onmogelijk is )

Olaf van der Spek schreef op dinsdag 05 januari 2010 @ 22:43:
Zijn dat security updates? Of draai je geen Ubuntu stable?

Alle ubuntu releases zijn stabiele releases. De LTS versies zijn long term support, niet long term stable. Karmic is dus niet een een "testing" ubuntu maar een echte volledige stabiele release (volgens ubuntu).

@ppl

Je zegt dat het ongewenst is dat een thuisgebruiker zijn eigen computer niet kan beheren. Dat is ook zo, en ik ben hier ook geen mensen tegengekomen die dat ontkennen. Dat de admin en user rollen zijn die bij thuisgebruik deels overlappen wil nog niet zeggen dat je dus het rechtensysteem moet laten varen. Daarbij gebeurt het nog steeds best veel dat de thuisgebruiker zelf de computer niet wil of kan beheren. In jouw post doe je het, in mijn ogen, voorkomen dat zo'n user dus aan een koppelverkoop vast zit. Maar dat is toch helemaal niet zo? Neefje, buurman, tweaker kunnen toch gevraagd worden het beheer te doen? Als je dan je OS afstemt op zo'n gebruiker dan heb je en je rechtensysteem en de thuisgebruiker die bepaalt wat er met zijn systeem gebeurd.

Sallin schreef op woensdag 06 januari 2010 @ 08:44:
[...]

Alle ubuntu releases zijn stabiele releases. De LTS versies zijn long term support, niet long term stable. Karmic is dus niet een een "testing" ubuntu maar een echte volledige stabiele release (volgens ubuntu).

Tja, je hebt stable en je hebt stable zal ik dan maar zeggen.

Een stabiele Ubuntu release is afaik toch wel van een iets andere orde als een stabiele Debian release.

ppl schreef op woensdag 06 januari 2010 @ 00:31:
[...]
bla

Ik ga hier niet op reageren.

Sallin lijkt te begrijpen wat ik bedoel. Jij niet. Als anderen iets onduidelijk vinden wil ik het best verhelderen overigens...

Gomez12 schreef op woensdag 06 januari 2010 @ 12:22:
[...]

Tja, je hebt stable en je hebt stable zal ik dan maar zeggen.

Een stabiele Ubuntu release is afaik toch wel van een iets andere orde als een stabiele Debian release.

Sallin schreef op woensdag 06 januari 2010 @ 13:55:

offtopic:
Dat ben ik helemaal met je eens , ik ben niet voor niets op debian (testing) overgestapt. Het ging er meer om dat veel mensen, waaronder ikzelf, dachten dat een LTS release op het moment van vrijgeven stabieler is dan een andere release. Of sterker, dat de andere releases een soort testing releases zijn voor LTS. En dat is een misverstand.

Sallin schreef op woensdag 06 januari 2010 @ 13:55:
[...]

offtopic:
Dat ben ik helemaal met je eens , ik ben niet voor niets op debian (testing) overgestapt. Het ging er meer om dat veel mensen, waaronder ikzelf, dachten dat een LTS release op het moment van vrijgeven stabieler is dan een andere release. Of sterker, dat de andere releases een soort testing releases zijn voor LTS. En dat is een misverstand.

d1ng schreef op woensdag 06 januari 2010 @ 14:35:
[...]

offtopic:
Van de Ubuntu Wiki: https://wiki.ubuntu.com/LTS
We are more conservative in our package merge with Debian, auto-synching with Debian testing, instead of Debian unstable.
Zou dan toch verwachten dat de LTS release stabieler is dan de normale halfjaarlijkse release

quote: http://en.wikipedia.org/wiki/#Package_maintenance

The requirements for a package to be included in "testing" is that it: [43] [44]

• Must have been in unstable for the appropriate length of time (the exact duration depends on the "urgency" of the upload)
• Must not have a greater number of "release-critical" bugs filed against it than the current version in testing. Release-critical bugs are those bugs which are considered serious enough that they make the package unsuitable for release.
• Must be compiled for all release architectures the package claims to support (eg: the i386-specific package gmod can be included in "testing")
• All of its dependencies must either be satisfiable by packages already in testing, or be satisfiable by the group of packages which are going to be installed at the same time.
• The operation of installing the package into testing must not break any packages currently in testing.

Sallin schreef op woensdag 06 januari 2010 @ 14:46:

offtopic:
Dat valt dus wel mee, aangezien ik deze vereisten (mits relevant) ook wel minimaal verwacht voor een ubuntu release

Wat ik mis bij linux is de mogelijkheid om een package te installeren zonder rootrechten. Het gekke is dat het op zich mogelijk is om zo'n programma te draaien, door het te downloaden en uit te pakken in je eigen homedir, maar dat is wel een enorm gedoe.

In OSX moet je sudo'en om iets naar /Applications te verplaatsen, maar de meeste programmaas kun je ook downloaden en runnen vanaf een andere locatie. In OSX mis je echter weer de voordelen van een package manager.

De OSX oplossing om in de System Preferences bepaalde items te kunnen locken vind ik wel mooi, zo kun je als sysadmin dingen als de network settings, de tijd en de startupdisk niet meer wijzigbaar maken voor gebruikers. Ik geloof dat PolicyKit ook zoiets zou kunnen doen, maar de laatste keer dat ik het zag vond ik het niet heel duidelijk allemaal.

Waarom gaat het hier zo vaak over implementatie? Het is toch gewoon mogelijk een package manager te maken die met setuid als root applicaties kan installeren? Daar zou je middels een configuratiebestand, of misschien PAM wel kunnen configureren wie packages mogen installeren.

Het kan ook gewoon met sudo (met of zonder password).

Dan geldt dus juist dat een gebruiker niet permanente root-permissies nodig heeft en dat je heel goed kunt specificeren wat iemand wel en niet mag.

Ik vind het zelf volkomen normaal dat als je iets system-wide gaat installeren, dat je een separaat root password moet opgeven. Ik vind het zelf juist belachelijk als dat niet hoeft, of als je alleen het user password (voor sudo) hoeft in te voeren.

Precies; en bovendien mogen mijn users alles doen wat ze willen in hun homedir, tot en met het installeren en draaien van apps aan toe. Een user heeft helemaal geen rootrechten nodig in zn homedir. Ook niet in een thuissituatie.

edit: @stacheldraht: Die kon ik zo gauw even niet vinden, maar je slaat de spijker op zn kop.

[ Voor 17% gewijzigd door dragunova op 06-01-2010 18:42 ]

Gotiniens schreef op dinsdag 05 januari 2010 @ 22:09:
[...]

IMO is het zelfs een firefox bug. al mijn andere applicaties blijven draaien terwijl ze geupgrade worden, waarom firefox dan niet? Ik kan hem moeilijk gelijk afsluiten en belangrijke info kwijtraken. Dus moet ik even wachten tot ik alles heb afgehandeld.

Tabs bewaren aanvinken, probleem opgelost...

Borromini schreef op woensdag 06 januari 2010 @ 18:44:
[...]


Tabs bewaren aanvinken, probleem opgelost...

Dit is ironisch bedoeld hoop ik?

Gotiniens schreef op dinsdag 05 januari 2010 @ 22:09:
al mijn andere applicaties blijven draaien terwijl ze geupgrade worden [..]

Dan heb je misschien onvoldoende upgrade ervaringen om er goed over te kunnen oordelen of gewoon geluk gehad. Ik kan je in ieder geval verzekeren dat bijvoorbeeld Xorg, KDE en Pidgin een upgrade niet zomaar overleven, om er maar een paar uit de afgelopen maanden te noemen die vreemd gingen doen na een upgrade.

Of het een redelijke eis is dat applicaties draaiend een upgrade kunnen overleven is ook iets waar je een aardige discussie over kan voeren.

[ Voor 18% gewijzigd door Confusion op 06-01-2010 21:14 ]

Verwijderd schreef op woensdag 06 januari 2010 @ 18:33:
[...]


Dat kan met klik

Wikipedia: klik (packaging method)

http://klik.atekon.de/

Ik ken het, maar het is bij lange na niet de soepele ervaring die je met apt hebt, of zoals het op OSX werkt. Klik lijkt zich puur te richten op het installeren van applicaties voor een user, als je systeembreed iets wilt installeren kan dat niet. Een image mounten vind ik ook een smerige methode trouwens, OSX doet dat ook vaak, maar daar is het tenminste mogelijk het programma te verplaatsen naar een andere locatie.

Verwijderd schreef op woensdag 06 januari 2010 @ 18:34:
Waarom gaat het hier zo vaak over implementatie?

Omdat alle besturingssystemen op dit moment zo ongeveer dezelfde concepten kennen, het zijn de implementatieverschillen die uitmaken wat de ervaring uiteindelijk is.

Ik vind het zelf volkomen normaal dat als je iets system-wide gaat installeren, dat je een separaat root password moet opgeven. Ik vind het zelf juist belachelijk als dat niet hoeft, of als je alleen het user password (voor sudo) hoeft in te voeren.

Daar valt wat voor te zeggen, ik vind het zelf een lelijk concept dat je een account hebt die niet gekoppeld is aan een fysieke persoon. Sudo biedt role-based security, je bent dezelfde persoon, maar je zet een andere pet op.

smokalot schreef op woensdag 06 januari 2010 @ 22:26:
ik vind het zelf een lelijk concept dat je een account hebt die niet gekoppeld is aan een fysieke persoon.

Ongeveer alle daemons draaien onder non-root users die niet aan fysieke personen gekoppeld zijn. Dat is, in het kader van rechtenbeperking, de normaalste zaak van de wereld.

smokalot schreef op woensdag 06 januari 2010 @ 22:26:
Daar valt wat voor te zeggen, ik vind het zelf een lelijk concept dat je een account hebt die niet gekoppeld is aan een fysieke persoon. Sudo biedt role-based security, je bent dezelfde persoon, maar je zet een andere pet op.

Wat bedoel je precies?
Er zijn in heel veel (bedrijfs)situaties regels van toepassing die stellen dat een account altijd naar een gebruiker te herleiden is (of zou moeten zijn).
Dat kan voor root gelden maar voor elke willekeurige user.

Wat ik trouwens een beetje lelijk vind, maar misschien kan het wel anders hoor.

Stel je hebt gebruiker Arie die de hoofd PC-eigenaar is. Hij heeft gewoon een eigen account en kan met sudo alles doen.

Stel hij wil zijn broertje Piet ook een account geven. Piet mag alleen spelletjes installeren want dat kan geen kwaad. Maakt Ubuntu bijv. hier onderscheid in? voor zover ik weet is het enkel of wél iets mogen installeren of níet iets installeren. Hetzelfde gebrek heeft Windows ook trouwens. Veel mensen kunnen namelijk prima vanaf een CD pakket X installeren, maar je wilt niet altijd dat diezelfde mensen óók bijvoorbeeld aan de partitionering kunnen rommelen, ik noem maar iets.

Privileges kun je over het algemeen wel scheiden - ook op een Windows bakkie.

Maar welk onderscheid is er voor de pc tussen ik noem maar iets FIFA 2009 en Defragmenter Deluxe oid.

datgene wat jij ervan wil maken met Applocker/NTFS ACLs en andere tools?

MsG schreef op woensdag 06 januari 2010 @ 23:00:
Maar welk onderscheid is er voor de pc tussen ik noem maar iets FIFA 2009 en Defragmenter Deluxe oid.

In 1e instantie helemaal niets, maar je kan bijvoorbeeld een default deny op installeren geven en dan specifieke installaties wel toestaan door daar een nieuwe package van te maken of een digitale vingerafdruk van de cd...

Als je echt de tijd en zin hebt kan je het veel en veel generieker instellen door bijv directx bestanden en registry keys wel muteerbaar voor een user te maken zonder aan de andere files / keys te komen ( maar afaik is hier geen standaard interface voor, menig repackaging pakket biedt hier wel enige tools voor ).

Je kan het onder linux / windows zo gek maken als je zelf wilt door de standaard rechten aan te passen ( gebeurt nogal eens bij bedrijven als een of ander specifiek pakketje schreeuwt dat het local admin rechten nodig heeft om te draaien terwijl het maar enkele local machine reg-keys nodig heeft )

dragunova schreef op woensdag 06 januari 2010 @ 22:42:
[...]
Wat bedoel je precies?
Er zijn in heel veel (bedrijfs)situaties regels van toepassing die stellen dat een account altijd naar een gebruiker te herleiden is (of zou moeten zijn).
Dat kan voor root gelden maar voor elke willekeurige user.

Tja daarvoor biedt sudo ook logging aan. En "fake"/ daemon accounts zijn nog steeds te herleiden naar een gebruiker, enkel heeft de admin gewoon veel account-names ( waarvan het merendeel veelal geen inlog rechten heeft )
Je stelt juist die vele accounts in om het terug te kunnen herleiden ( en een stuk security ), een root hoeft niet in een user-dir te kunnen, een backup user weer wel. Alletwee de accounts zijn van de admin, maar als root mag hij er niet bij en de backup user mag weer niet inloggen ( en ook niet voorkomen in de sudo logs )

Door die accounts heb je juist herleidbaarheid ( was het de gebruiker root die fysiek vanaf een desktop in de bestanden zat te kijken of was het gewoon een tussentijdse backup operatie )