Если выставить 755 то начинаются вечно какието косяки
Если не разобраться, откуда берутся эти косяки, то однажды поставишь chmod -R 0777 / - и потом пойдешь переставлять систему.
Курица - не птица, линух - не винда. Не надо стремные виндовые практики на него тащить. У любой проблемы есть причина, и почти всегда (хоть и не всегда абсолютно) она устранима.
В ACL должна быть запись default, которая применяется тогда, когда создается новый обьект. Если ее нет применяются "базовые" права - владелец и группа.
Потому что удаление - операция с содержимым каталога, а на каталог w есть. r не дает изменить файл. Здесь нет никакого конфликта, потому что права относятся к разным субьектам.
Когда на каталоге r, а на файле ничего - можно получить информацию о файле (метаданные), но нельзя файл открыть, то есть сначала идет действие с каталогом, а потом с файлом.
Когда на каталоге rw, а на файле r - действий с файлом для его удаления не нужно :)
Возможно - запретив писать в каталог .config в домашней папке. Ну то есть взять, поменять настройку. Посмотреть, куда что записалось. Поменять другую. Опять посмотреть. И забрать права на эти каталоги. Но я не думаю, что Вы первый задались этим вопросом, наверняка его уже решали и не единожды.
Правда, насчет "шифровал файлы" - такого там конечно же нет. Вещь крайне обоюдострая - забыл пароль - и все. Да, еще - чисто техническими средствами это не реализовать - только комплекс из технических и административных мер.
Стахановец - это Система Мониторинга Пользователей и, соответственно, руководство при приеме на работу обязано предупреждать, что таковой ведется. Желательно в письменном виде под роспись. Мониторится все, в том числе ввод с клавиатуры, делаются снимки экранов (помогало неоднократно против людей, которые продвинутые или просто "особо умные").
В сертификате "Калуга астрал" видимо указан OCSP - сервис для онлайн-проверки статуса сертификатов. Пока данный сервис не будет онлайн/доступен, этим сертификатом ничего нельзя будет подписать, потому что он не может проверить статус отзыва.
Загрузка CRL на компьютер ничего не решает - должен работать именно онлайн проверятор.
- Выпнуть из домена, если это не единственный контроллер домена
- Забутится с ремонтного диска, сломать пароль встроенной учетки, включить ее
- Создать каждому админу свою учетку, потому что делать вот так как вы - это крайне плохая практика
По той же причине, по которой опасно девушке одной ночью летом в короткой юбке гулять по городу - могут совершить разные непотребства, даже не спросив имени :)
В локальной сети с доменом файлы должны храниться централизованно. Это одна из аксиом, которые обычно не обсуждают - делают и все. Централизованно можно скрипт собственный написать, который будет делать то, что Вам нужно.
И разумеется, у юзеров не должно быть прав локальных аминов.
Пароль - это запись в файле /etc/shadow. Для его изменения нужно изменить то, что в этом файле записано, для сброса пароля (чтобы его не было совсем) нужно соответствующую запись привести к виду: babay::18271:0:99999:7:::
где babay - имя юзера, а числа могут быть любыми. Главное - чтобы между символами :: после имени пользователя не было ничего (Текст, расположенный в этом месте - есть зашифрованный пароль)
1. LiveCD с любым дистрибом, монтируем диск с системой и стираем что там есть (потом задать нужно обязательно)
2. Emergency mode, монтируем диск и стираем (потом конечно же нужно задать)
В данном случае - хранить юзеров в MySQL, а в систему их выводить через PAM. Рута обходить каким-нибудь макаром, а остальных пробрасывать в MySQL. Не знаю, правда, делал ли так кто, но вот юзеров из AD так запросто цепляют.
На линух ставится самба. Теоретически взгромоздив поверх нее какой-нибудь webmin можно даже рулить всем этим через веб-морду. Ну или можно попробовать поставить туда пиленую Synology - там тоже есть веб-морда для самбы.
