"Зеленая" установка: Смири гордыню, админ

Прислано: Студия Razgonka.ru

вс, 19/08/2007 - 08:02


СмирениеВ Друпале каждый пользователь имеет свой уникальный номер пользователя, uid.

Есть 2 предопределенных uid:

  • "Гость", права самые минимальные - uid = 0
  • "Бог", имеет доступ ко всему - uid = 1

Остальные uid (2, 3, 4,...) назначаются по мере регистрации на сайте новых пользователей. Доступ к возможностям сайта для них гибко задается через систему ролей.

Традиционно установщик сайта занимает для себя место "Бога" с uid=1. Жизнь жестоко наказывает за такие претензии. Установщик не бог, он смертный человек. Его присутствие на сайте в качестве администратора не вечно.

Разные виды пользователей

Пользователи 2, 3, 4,... обычно реальные персоны.

Но "Гость" и "Бог" в идеологии Друпала не принадлежат персоне:

  • "Гость" - это все посетители, которые хотят остаться анонимными.
  • "Бог" (или суперадмин) - это тоже не персона, "Бог" это тот кто имеет полную власть над сайтом.

Аккаунт админа в "зеленой" установке

В "зеленой" установке рекомендуется для администратора заводить отдельный аккаунт, например uid = 2. Заводится роль "админ" с правами, которые должны быть под рукой у администратора. Роль "админ" назначается аккаунту uid = 2 . Всю переписку и текущую работу по сайту админ делает от uid = 2. Божественный аккаунт uid = 1 используется только при апргейдах и других серьезных работах по сайту, но не для вещания от имени "Бога".

Такая схема имеет много преимуществ:

  • раз "Бог" ничего не пишет на сайте, то сложно случайно попасть в его аккаунт и ненароком удалить его
  • при удалении аккаунта uid = 1 тоже ничего страшного не происходит, так как за ним не числится никаких материалов (для восстановления uid = 1 можно добавить в базу данных MySQL строку с uid = 1)
  • если случайно доступ к браузеру админа получит недоброжелатель, то у него будут только права "админа", а не "Бога"
  • когда появится секретарша, можно будет убрать права uid=2 до минимума и передать ей пароль от uid=2. Админ будет диктовать тексты, а она будет набирать их от имени админа uid=2.
  • на время ухода в отпуск админ может передать логин и пароль от uid=1 своему партнеру
  • когда админ отойдет от дел на сайте, он сможет убрать права uid=2 до прав обычного зарегистрированного пользователя и сохранить все написанные им статьи и сообщения
  • в мультисайтинге пользователи на всех сайтах в связке будут общие. Часто у сайтов разные владельцы сайтов. У посетителей сайта может сложится неправильное впечатление об иерархии на сайте, когда uid=1 с первого сайта начнет что-то писать на втором сайте, где есть свой администратор. Администраторы всех сайтов на мультисайтинге должны иметь uid начиная с 2 и выше. А uid = 1 не принадлежит конкретному человеку, его использует для технических работ по сайтам тот, кто в данный момент поддерживает мультисайтинг.

Правда, есть маленький недостаток. Нужно смирить гордыню и завести себе аккаунт не с uid=1.

Наказание за "красное" администрирование

Многим администраторам сложно смирить гордыню и работать под uid=2. Они работают под "божественным" uid=1, исходя из основных тезисов "красной" установки:

  • текущее положение на сайте будет сохраняться вечно
  • админ бессмертен и незаменим.

Когда кто-то пишет на сайте как "Гость", то он заранее отказываетесь от всех личных прав на написанное им. Это отражено в uid, который для "Гостя" равен нулю.

Когда админ пишет на сайте от аккауната "Бога", то он - все сущее, что отражается в его uid = 1. Такой "божественный" админ тоже заранее отказывается от всех личных прав на написанное им. Потому что "Бог" не отдельно взятая личность.

На Друпал-сайте "Гость" объединяет в себе многих посетителей, а аккаунт "Бог" (uid = 1) объединяет в себе все поколения администраторов на сайте.

Объединение анонимных посетителей видно невооруженным взглядом, объединение поколений администраторов в аккаунте "Бога" растянуто на года и многие администраторы про него даже и не подозревают.

Тем не менее, незнание закона не освобождает от ответственности.

Если админ возомнит себя "Богом" и будет интенсивно писать на сайте от имени "Бога", то наказание неизбежно. Когда на сайте поменяется администрация, новый админ назначит для uid=1 свое имя и вставит свою автоподпись. Вся переписка и блог предыдущего админа будет показываться от имени нового админа.

Старый админ-"Бог" будет неизбежно лишен доступа к своему аккаунту uid = 1 и потеряет все написанное им под этим аккаунтом. При всей лояльности новый админ не сможет уменьшить права uid = 1 до зарегистрированного пользователя и оставить аккаунт uid = 1 старому админу.

Смена админов при "зеленой" установке

"Зеленая" установка исходит из того, что клиент должен иметь возможность сменить администратора в любой момент.

Админ берет себе uid=2, присваивает аккаунту права роли "админ", спокойно ведет свой блог и переписку на сайте. Когда админ уйдет с поддержки сайта, он назначает uid=2 единственную роль "зарегистрированный пользователь". Старый аккаунт с uid=2 остается жить на сайте и он не мешает новому админу.

Переписка прежнего админа тоже остается на сайте и он может давать ссылку на нее своим новым клиентам как подтверждение того, что он администрировал сайт на Друпале.

Ссылка: Статья "PHP-доступ к User id, name, email".

Комментарии


Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Применить"
Опубликовано beer_destroyer в вс, 19/08/2007 - 10:52.
beer_destroyer

http://drupal.ru/node/7130
Що, опять???

Ну тогда мой вклад в вашу теорию:

Зеленое введение пин-кода карточки
Многие вводят свой пин в открытую. Так его могут подсмотреть хакеры, украсть какие-нибудь шпионские камеры и т.п.

Мы, зеленые, предлагаем прикрывать его рукой. Так, чтобы видеть его могли только вы один. А без знания пина воровать у вас карточку бесполезно.

Кстати, это ноу-хау можно применять и при введении логина и пароля на своем сайте.
=====
В следующих выпусках: как по зеленому донести з/п до жены и не пропить ее по дороге. Как и сколько по зеленому надо брать деньги на пиво с друзьями.
Как по зеленому запирать квартиру или автомобиль и много других полезных зеленых советов.


Опубликовано SlavviR в вс, 19/08/2007 - 12:08.
SlavviR

прям вовремя! предупредили. спасибо
beer_destroyer я бы посоветовал Вам вникнуть в суть вышеизложенного, а если Вам данная информация не интересна / не полезна, то не стоит здесь, извините, флудерастить


Опубликовано Ainur в вс, 19/08/2007 - 11:23.
Ainur

>в мультисайтинге пользователи на всех сайтах в связке будут общие.
почему?


Опубликовано beer_destroyer в вс, 19/08/2007 - 12:45.
beer_destroyer

Только попробуйте сказать, что моя информация не полезна. Куча народа так свое бабло потеряли.

Все остальное можно восстановить, даже сайт. А вот деньги не всегда.

Вас, сударь, никто не называл флудерастом. А может как раз следовало бы. Ведите себя прилично, вы не в пивной.


Опубликовано Konstantin Boya... в вс, 19/08/2007 - 14:21.
Konstantin Boyandin@drupal.org

В общем, пересказ давно известных истин, но очень уж многословно. "Формулировочки могли быть и поточнее..."

"Да не станешь ты мнить себя господом богом, и не укажет тебе подлинный Господь на подлинное место твоё".


Опубликовано beer_destroyer в вс, 19/08/2007 - 17:05.
beer_destroyer

Удаленный аккакнт легко восстановить - см. FAQ.

Юзеров типа "секретарща" или "любовница" нужно заводить по мере надобности. И привилегии выдавать тоже при необходимости.

Если вы доверяете своему компаньону, логично сразу и ему предоставить админские права. Система позволяет иметь кучу аккаунтов с админскими правами.

И конечно же, к "зеленой установке", по кр. мере как она когда-то тут декларировалась, эта статья никакого отношения не имеет. Вернее имеет отношения не больше, чем "зеленый ввод пин-кода".

Либо кое кто, не станем показывать пальцем, принял ислам и теперь тащится от зеленого цвета. Либо, что вероятнее, кое-кто, не будем показывать пальцем, так вот неуклюже пытается раскрутить свой бренд.


Опубликовано PVasili в вс, 19/08/2007 - 18:00.
PVasili

У всех есть достоинства и недостатки. Давайте будем терпимее и конструктивнее...


Опубликовано beer_destroyer в вс, 19/08/2007 - 18:36.
beer_destroyer

Терпимее можно быть к описавшемуся ребенку. К ошибке, опечатке. К непреднамеренным поступкам или к случайности. А товарищ, на мой взгляд, все великолепно осознает.


Опубликовано ursus в вс, 19/08/2007 - 18:52.
ursus

Макс, вы несомненно даете правильные советы, но личноу меня два вопроса:
а) придерживаетесь ли вы сами вами написанного? и
б) вы верите в бога? :)


Опубликовано theblackcat в вс, 19/08/2007 - 19:11.
theblackcat

Идее - жить. Сам всегда поступаю именно так - для управления используется аккаунт с ограниченными администраторскими возможностями (в любой CMS), а в целях в первую очередь безопасности, а не всякой зелени, аккаунт со всеми правами используется как можно реже.


Опубликовано artcons в вс, 19/08/2007 - 19:21.
artcons

-Суета, сует! : прочитав сказал Бог.

Пойду приму азалептинчика.


Опубликовано validoll в вс, 19/08/2007 - 19:23.
validoll

Вообще "зеленая" практика является стандартом для unix-систем. Если заходишь под рутом, система тебе сразу говорит, что не следует этого делать. Ручки то шаловливые :). А такие системы не младенцы придумали.


Опубликовано beer_destroyer в вс, 19/08/2007 - 19:44.
beer_destroyer

Угу. Сильно напоминает Мольера "Мещанин во дворянстве": "А я и не знал, что все время говорю прозой!"
Юниксоиды ХЗ сколько лет это используют, но понятия не имели, что это, оказывается, "зеленая установка", придуманная Максом. :)


Опубликовано validoll в вс, 19/08/2007 - 19:49.
validoll

Как не назови, а суть одна. Безопасное использование системы. Я думаю, что дальнейший разговор на эту тему будет не уместен. Каждый видит эту тему по своему, и сейчас самое время оставить свое мнение при себе (ИМХО).


Опубликовано beer_destroyer в вс, 19/08/2007 - 22:52.
beer_destroyer

Вы, разумеется, вольны оставлять свое мнение при себе, а я уж, с вашего разрешения, свое мнение выскажу.

Суть как раз разная. В одном случае попытка указать на потенциальную дыру в безопасности и помочь юзерам. В другом - пиар себя, своего бренда, своей студии, причем на ровном месте.

Если в первом случае это объясняется в несколько строк, то во втором там мало писать не солидно: и щедро льется вода, чтобы все окончательно запутать.

Могу показать как объясняется просто:
"Не надо работать под админом без необходимости. Это небезопасно. Создайте юзера с нужными правами и сидите под ним". Здесь содержится ровно столько же информации, сколько и в статье. Занимает примерно столько же байт, сколько подпись Макса.

Если надо, могу про ангелов, демонов, секретарш и пр. воды долить. Кстати, God, ни к месту сюда приплетенный, показывает, что автор в курсе практики юниксоидов.


Опубликовано Gedler в пн, 20/08/2007 - 07:03.
Gedler

Много пафоса и букв.все под зеленные знамена зеленной установки
Как минимум - подмена понятий.

предлагаю пропиарится по полной и написать статью:
"Зеленая установка" - админ должен принять ислам и пройти обряд обрезания.
В качестве графического образа предлагаю использовать картину:
"Правоверные друпалеры под зеленными знаменами объявляют священную войну неверным исповедующим красную установку".
lol
Для наглядности обличения "красной" установки притянуть за уши картины Иеронима Босха, Иероним Босха предупреждает о последствиях красной установки drupalпредсказывающие апокалиптичность этих самых "красных" тенденций...


Опубликовано PVasili в пн, 20/08/2007 - 07:27.
PVasili

2 раз, Давайте будем терпимее и конструктивнее... Стёб вынесите в отдельную ветку.


Опубликовано igdrasil@drupal.org в пн, 20/08/2007 - 07:42.
igdrasil@drupal.org

а я вот почти согласен с Максом, правда первый раз
у меня на VPS нельзя зайти рутом с консоли, и это абсолютно правильно, он же предлагает подобное решение для админа сайта, имхо - правильно...
один недостаток: я, зайдя под своим логином на VPS не имею права сменить пароль для рута, пока не зайду под ним, а в друпале (если даются этому aka "админу" все права) это реально, что полностью ломает его карточный домик

ЗЫ. 2PVasili
когда же исправите верстку? картинки из сообщений вылезают
вместоmin-height: 96px;напишите:overflow: auto; zoom:1;


Опубликовано ultraboy@drupal.org в пн, 20/08/2007 - 07:40.
ultraboy@drupal.org

На самом деле, тема далеко не нова, и попытка привязки ее к своей "идеологии" выглядит не слишком оригинально. На мой (да и не только) взгляд.


Опубликовано ultraboy@drupal.org в пн, 20/08/2007 - 07:41.
ultraboy@drupal.org

Внимание! Вот он, главный противник зелёной установки! =)


Опубликовано PVasili в пн, 20/08/2007 - 07:45.
PVasili

Вопросы к хозяину. У меня нет доступа к ftp.drupal.ru, и уж тем более приличного к wiki.drupal.ru :-(


Опубликовано Gedler в пн, 20/08/2007 - 07:51.
Gedler

блин, вся библия нафиг!


Опубликовано andron13 в вт, 21/08/2007 - 09:19.
andron13

каменты жгут. бугага


Опубликовано stokito в вт, 21/08/2007 - 17:43.
stokito

Ёпт. Так что админ мира уже другой? Ёпт.


Опубликовано PanDa777 в сб, 26/04/2008 - 19:00.
PanDa777

А у "Гостя" что? -1?


Опубликовано axel в сб, 26/04/2008 - 20:53.
axel

У гостя uid = 0.


Опубликовано PanDa777 в вс, 27/04/2008 - 19:06.
PanDa777

Я-то это знаю... Просто ответ на вопрос о том, что у root uid равен 1, а не 0, как в *nix. Хотя, быть может (скорее всего) это было просто "философское" замечание...


Новое на сайте