leszhek, чтобы дать посмотреть то, что не нужно используют шифрование. Права рута при наличие физического доступа к машине на это не влияют.
Пользователь добавил сообщение 02 Сентября 2016, 17:48:57:
leszhek, и мы вроде о детском ПК.
=)), нет, я писал, что детский ПК - это полигон и на нем проходит эксперимент. Вот здесь:
В данном случае, пусть удаляют и переворачивают. Машина стоит у детей в комнате, на ней сейчас эксперементирую (дать старшему ребенку возможность устанавливать ПО из разрешенных репозиториев) - для рабочей сетки необходима возможность позволить пользователям устанавливать на свои локальные машины всю "мешуру" по вкусу (браузеры, почтовые клиенты, офисные приложения и проч). Задачи, примерно, схожи. Риски тоже (если что-то и будет снесено на локальной машине пользователя, общую работу это не затронет).
И здесь же обозначил, что для рабочей сетки задача похожа.
(собственно и детей ограничил в sudo, чтобы решить рабочую задачу, ну и на будущее =)) )
Что касается шифрования, я никогда с этим не сталкивался. Но, обязательно посмотрю.
Полноценный sudo позволит прописать "левые" репозитории, внести изменения в настройки системы (в любой файл в /etc), а так же добавиться в любые группы. Групповой доступ даст возможность лазить по общим документам в рамках групп проектов, думаю, что шифрование в такой ситуации не поможет. А "случайное" добавление себя в группу adm - вообще позволит получить права root (со всем системным окружением).
leszhek, установка еще возможно. А вот удаление?
Punko, как я уже писал, удаление пакетов меня не пугает. Этим будет заблокирована работа отдельной машины, а при условии, что файлы и настройки пользователей находятся на сетевом ресурсе, и геометрия дисков и параметры машин одинаковые - приведение рухнувшей системы в чувство не составляет особого труда и не займет много времени.