Сертификаты SSL хорошо работают из командной строки, но сбоев в сценарии

Давайте не ходить вокруг да около на этом.

Если у пользователя есть права "Администратора" затем, это "игра закончена" для любой установки, которую Вы хотите осуществить на самих компьютерах. Нет НИКАКОГО механизма, который можно использовать для предотвращения "Администратора" от выполнения чего-либо, что они хотят к компьютеру. Когда Вы позволяете пользователям работать как "Администратор", Вы бросаете все управление, Вы думаете, что могли бы иметь на компьютере, они используют тот путь. Случай закрывается.

Единственный способ, которым Вы собираетесь быть способными управлять тем, какой сервер DNS эти компьютеры использование должен настроить Ваш брандмауэр для отбрасывания любых исходящих запросов к порту UDP 53 к любому IP-адресу кроме серверов DNS, которые Вы хотите, чтобы пользователи использовали. Затем если они изменят указанные серверы DNS, то их запросы никуда не пойдут, и они будут или возвращать их или жить в мире w/o DNS.

[ОЧЕНЬ БОЛЬШАЯ МЫЛЬНИЦА]

Я надеюсь, что Ваша компания не разрабатывает продукт для перепродажи.

Это - 2009. Microsoft заявляла В ТЕЧЕНИЕ МНОГИХ ЛЕТ, что все прикладное программное обеспечение shound работает правильно с непривилегированными учетными записями пользователей. В то время как я понимаю, что Ваши средства разработки могут потребовать прав "Администратора" работать правильно, очень вероятно, что на основании Ваших разработчиков, работающих как "Администратор", программное обеспечение, которое они разрабатывают, закончит тем, что требовало, чтобы у пользователя, который выполняет его также, были права "Администратора" (потому что это было записано и, очень вероятно, протестировано в среде "Администратора").

Это делает меня грустным. Каждый раз я вижу часть программного обеспечения, которое хочет записать в "C:\Program Files...", который я тихо проклинаю и становлюсь немного более сердитым на сообщество разработки программного обеспечения. Каждый раз я вижу документ установки, в котором говорится, что "У пользователей должен быть доступ 'Администратора'..." Я чувствую руки, непреднамеренно завихряющиеся в кулаки. Да, да - возможно, я отношусь к этому немного слишком серьезно, но это - мое задание...

Я болен и проклятый усталый от необходимости иметь дело с программным обеспечением, записанным незаботливыми компаниями, которые думают, что это в порядке для их программного обеспечения, чтобы потребовать, чтобы учетные записи привилегированного пользователя работали. В каждом случае, где это практично, я рекомендую своим Клиентам, чтобы они не купили такое программное обеспечение. Когда это не возможно, я обычно заканчиваю тем, что сидел без дела с Монитором Процесса, выясняющим, как установить набор абсолютного минимума полномочий заставить программное обеспечение работать с ограниченной учетной записью пользователя. Когда это не будет работать, мои Клиенты должны закончить тем, что покупали дополнительные лицензии на ОС Windows, таким образом, что мы можем запустить программное обеспечение по закону в виртуальной машине, где у пользователя может быть привилегированная учетная запись, и я могу "откатывать" любые изменения, которые внесены легко и быстро.

Это - позор мне, что у Вас нет руководителя разработки, который понимает это и запрещает разработчикам наличие прав "Администратора". Это - позор мне, что, как системный администратор, необходимо иметь дело с пользователями, имеющими права "Администратора". Это - позор мне, что мы, как сообщество системных администраторов, не делаем лучшего задания противостояния пользователям / менеджеры и объясняем, что такая значительная часть компьютерных проблем безопасности (и связанный расход) имеет первопричины, связанные с пользователями, имеющими полномочие сверх их истинной потребности.

Вам не придется даже задавать этот вопрос. Не правильно, что необходимо иметь дело с этим тем же дерьмом также откровенно.

Я презираю необходимость тарифицировать моих Клиентов напрасно в течение времени, я трачу делающее грязное программное обеспечение, которое не будет работать, поскольку стандартная пользовательская работа "из поля" работает правильно. Похоже на грязные деньги мне, и пора, чтобы я потратил бы находить способы использовать IT для создания их бизнеса более продуктивным и прибыльным.

[/ОЧЕНЬ БОЛЬШАЯ МЫЛЬНИЦА]

0
задан 10 April 2010 в 19:52
1 ответ

Проблемы, откуда что-то работает от оболочки, но не будет cron или init или daemon или некоторая другая среда обычно вызывается различиями в среде.

  • Используйте полные пути для исполняемых файлов и файлов данных
  • Явно установите Ваш PATH переменная для проверки это включает то, в чем Вы нуждаетесь
  • Явно установите другие переменные среды, в которых нуждается Ваш процесс

Так как это похоже nail жалуется на некоторые библиотеки, вероятно, что переменная среды указывает один путь в одной среде и другом (или нисколько) в другом.

Я не знаком с BitNami, но в моей системе те библиотеки находятся в /lib и /usr/lib/lib/i586 и подобный).

1
ответ дан 4 December 2019 в 23:07

Теги

Похожие вопросы