В статье "Getting Started with Multi-Category Security (MCS) (http://james-morris.livejournal.com/8228.html)" приводятся практические примеры использования, появившейся в тестируемом в настоящее время Linux дистрибутиве Fedora Core 5, функциональности SELinux, дающей возможность оперировать категориями. Т.е. можно значительно упростить работу с SELinux, определив несколько наборов правил (например, "Company_Confidential" или "Medical_Records") и дальше оперировать ими как атрибутами для управления доступом.В предыдущей статье "А brief introduction to Multi-Category Security (MCS) (http://www.livejournal.com/users/james_morris/5583.html)" были изложены основные принципы MCS.
URL: http://james-morris.livejournal.com/8228.html
Новость: http://www.opennet.me/opennews/art.shtml?num=6840
Вот и в Linux понапихали дерьма всякого, постепенно превращаемся в VAX/VMS, а теперь вспомним что есть VAX с VMS, и что есть Linux, за одно вспомним судьбу VAX/VMS. Linux, по идее, не может быть ОСью для Мэинфрэймов (пока), ну неверю я, что возможно одновременно работать 100000 человек, пускай хотя бы с консолью и VI или TeX. В Линухе спустя 10 лет, ACL стали более-менее использовать, а тут такие, 99.9% людей ненужные вещи.
...В догонку, опять про VAX.
Насколько я помню там прав доступа к файлам/объектам было что-то около 12 или 16. А теперь представили 2 в 16 степени (65536) вариантов доступа к файлу :) Клёво, да?! Особенно меня прикалывало, когда стояло READ, WRITE, NODELETE
то есть обнулить файл мог, а удалить нет :)
... и ещё про VAX, ладно, так уж и быть открою секрет, такие права как READ, WRITE, NODELETE ставились на файлы устройств и т.п.
На самом деле не самая глупая комбинация, даже в переводе на обычные файлы.. Примеров может быть куча....
Ты меня опередил на минуту.Это спасает систему от миллиарда коллизий.
И что такое "100 000 пользователей"?
100 тысяч пачечек перфокарт переложенных огрызками гетинакса и перехваченных резинкой от трусов, что ли?
> 100000 человек, пускай хотя бы с консолью и VI или TeX
По 300-бодной сверхсекретной линии?
пускай внедряют
понадобится - рано или поздно
существущая система прав 777 убога донельзя
Не хлопцы, SELinux это необходимость.Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.
Да не нужна она в Линухе, А NT ядро у VAX спёрло, всмысле разрабатывали одни и те же люди.
Гугл и форум ореннет переполнены призывами - спасите скорей ничего не делал, все развалилось! Потому что не хватает запрета менять владельца файлА, либо фичи сохранять владельца файлА, даже если его преписывает рут. 9/10 истерик о помощи - повышение или понижение прав на доступ к конфиг или спул файлам. Проделай лабораторную:chmod u+w sudoers
Самое смешное, что посылать в ... sudo может тебя так, что ни в логах, ни в удаленной консоли ты ее ... не увидишь. Вот и чеши репу!
А был бы атрибут "не менять разрешений" - никто не налетал бы на это после "chmod -R u+w /usr/local/etc"
>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.
а можно поподробнее? не флейма ради, а знаний для..
>>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.
>а можно поподробнее? не флейма ради, а знаний для..Ну, например вот permission entry для каталога в винде:
full control
traverse folder/execute file
list folder/read data
read attributes
read extended attributes
create files/append data
write attributes
write extended attributes
delete subfolders and files
delete
read permissions
change permissions
take ownershipи все это раздельно можно задавать для групп юзеров или по отдельным юзерам.
Правда такая гибкость порождает в свою очередь проблемы в том, что нетривиально (быстро и штатными ср-вами в удобочитаемом виде) узнать права всех юзеров на все каталоги.
>>>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.
>>а можно поподробнее? не флейма ради, а знаний для..
>Ну, например вот permission entry для каталога в винде:
>full control
>traverse folder/execute file
>list folder/read data
[...skip...]
>и все это раздельно можно задавать для групп юзеров или по отдельным
>юзерам.
Это по-человечески называется ACL. Права доступа к файлам в виде списков, а не триад ugo**rwx. Кому надо, у того ACL есть и в fs, и в самбе, я думаю.SELinux (как и GRSec, и пр.) про другое, про ограничение прав [на _действия_], уход от ситуации со всемогущим root-ом, более "мелкозернистое" определение этих прав. Это, наверное, ближе к каким-нибудь policies в Win*.
> проблемы в том, что нетривиально
То, что не белается "одной кнопкой", то есть было изначально реализовано разработчиками в виде этой самой "одной кнопки", _будет_ и там, и тут сложно, нетривиально и проблемно. Только мне **кажется**, "непреодолимых" проблем "тут" будет по-меньше.
>>Ну, например вот permission entry для каталога в винде:
>Это по-человечески называется ACL. Права доступа к файлам в виде списков, а
>не триад ugo**rwx. Кому надо, у того ACL есть и в
>fsА где подобное в ФС найти?
>SELinux (как и GRSec, и пр.) про другое, про ограничение прав [на
>_действия_], уход от ситуации со всемогущим root-ом, более "мелкозернистое" определение этих
>прав. Это, наверное, ближе к каким-нибудь policies в Win*.Да и это тоже.
>_будет_ и там, и тут сложно, нетривиально и проблемно. Только мне **кажется**, "непреодолимых" проблем "тут" будет
>по-меньше.Изначально базар был о том, что SELinux нужен.
>>Кому надо, у того ACL есть и в fs
> А где подобное в ФС найти?
В. Интернете. google.ru/search?q=ACL+filesystem и т.п.
http://acl.bestbits.at/ "The 2.6 kernel already includes support for ext2, ext3, jfs and xfs."
Ну, или в своём ядре.
>>>Кому надо, у того ACL есть и в fsgetfacl, setfacl - Это?
>Не хлопцы, SELinux это необходимость.
>
>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни
>говорили.На сколько мне известно, SELinux разработан для ограничения root с системе, виндофс тут не причем, а уж гибкость тем более, это больше на геморой похоже :(
2Santa-Claus: в этом плане очень удобна ОС Novell с её NDS. Можно быстро узнать права пользователя по отношению к каталогам и файлам.
>2Santa-Claus: в этом плане очень удобна ОС Novell с её NDS. Можно
>быстро узнать права пользователя по отношению к каталогам и файлам.Это да. Но эта ОС уже умерла.
Зато NDS eDirectory, работает как на Линухах, так и Соляре