[iglezz]

Цитата lxa85:

Почему неправильно сидеть супер-пользователем, тем более в графике, при вышеназванных условиях? »

Последствия безконтрольного доступа куда попало с привилегиями сверх необходимых можно увидеть на примере истории Windows и пользователей с правами администратора/любителей отключать UAC (типа "я хозяин на своём компе, мне нужно так") -- вирусня и шаловливые ручки с наиболее вероятным результатом "ай, сломалось!"

Для любителей сидеть под рутом раньше были добрые (по части присутствия образовательного эффекта) шутки "угадай что выведет команда ..." на sh/perl/python/..., результатом которых в итоге получался "rm -rf /"...

[NickM]

Цитата lxa85:

В безопасности - первое о чем говорят - это rm -rf / »

Ну, это говорят в том ключе - что это безвозвратно.

Например, ну ведь наверное многие на такое нарывались, когда "махнул хвостиком" в GUI и папка "пропала" ("друг и дроп"), переместилась куда то там... а вот представьте то же от администратора, без всяких там запросов...

А так да, каждый Сам Себе Хозяин.

Например, обладая достаточным опытом Сам сижу под пользователем, это и не кич по типу "так говорят там в Ваших Интернет'ах", а просто сложившееся собственное мнение за долгие годы пользование различных операционных систем (и да, еще каждому пользователю домашнего компьютера - по одной ограниченной учетке).

[Jula0071]

Я так понимаю, к каждой конкретной машине имеют доступ несколько пользователей? Так обычно в организациях.
Тогда есть аргумент не логиниться root'ом или каким либо ещё общим аккаунтом – в случае инцидента невозможно выяснить, кто виноват. Поэтому каждый пользователь должен логиниться своим персональным аккаунтом, а при необходимости повышать привилегии (sudo). В идеале пользователи должны аутентифицироваться в централизованной системе (LDAP, sss и т.д.), поскольку люди приходят и уходят, а бегать вручную (или даже при помощи чего-то вроде puppet/ansible) добавлять/удалять/лочить/разлочить – ненужный гемор. Да, суперпользователь может подчистить улики, подправив логи и даже utmp/wtmp (журналы логинов), но это уже явное злоумышление, что маловероятно, впрочем и на этот случай есть возможность настроить отправку логов на удалённый и недоступный юзерам rsyslog, чтобы иметь доказательную базу кто где и как гадил.

history у root'а также ведётся, он в этом плане ничем не отличается от остальных пользователей.

[lxa85]

По порядку:
iglezz, детсвие болезни мы не рассматриваем, равно как и банальные очевидности.
Повторюсь, система физически изолирована и выполнять патч Бармина никто не будет.
NickM, спасибо. Сам сижу под пользователем, воспринимая это нормальной практикой.
В целом начал практику внедрения пользователь+sudo, мне как-то сразу спокойней стало. По крайней мере за свои действия.
Другие продолжат вкатывать root и я им не указ (долгое безкультурное наследие, даже говорить не хочется)
Jula0071, да, к машине имеет доступ несколько пользователей.
Увы, о чем-то централизованном пока приходится только мечтать. Т.к. устройства (шкафы с оборудованием) должны быть с одной стороны автономны, с другой - уметь быть встраиваемыми с выше-стоящие структуры. Поэтому "что-то официальное и центральное" возможно будет только руками будующих админов, если им хватит желания и опыта. Пока что продолжаю бегать руками по ssh (puppet/ansible/salt/etc сейчас выбираю) и приводить машины в порядок. Иного, в отсутвии опыта в чужих головах, не дано.

[Jula0071]

Цитата lxa85:

Т.к. устройства (шкафы с оборудованием) должны быть с одной стороны автономны, с другой - уметь быть встраиваемыми с выше-стоящие структуры. »

И как это мешает централизованной аутентификации?

[lxa85]

Цитата Jula0071:

И как это мешает централизованной аутентификации? »

На данном этапе мешает большое количество бумаг, в которых потребуются внести исправления, и дополнительная стопка бумаг, в которых будет описано это самое централизованное управление. Плюс сроки сдачи отчетности.
Понятно, что это все решаемо (и уже частично решено), но официально чуть позже.