Re: outsourcing: rsbac vs se Linux
Victor B. Wagner wrote:
Я бы сказал что настройщика нужно не столько ограничивать, сколько
контролировать. И порекомендовал бы использовать для этой цели kibitz
(скрипт такой из экзамплов к expect) или ytalk...
Спасибо. Интересный вариант, изучаю.
Но. В данном случае все таки требуется интерактивность и понимание со
стороны
пользователя и его заитересованность в обучении.
Так что хороший вариант, но не для всех.
Изначально хотелось сделать так: Определить все что можно настроить и
разбить по группам
на основании необходимых прав. Для каждой группы сделать пользователя
(группу, роль).
Далее пользователь мог бы просто указывать название необходимой
настройки и ip с кем договорился.
Куда бы и высылался сгенерированный на время (+-час) логин\пароль с
необходимыми под задачу правами.
Я так полагаю что это можно сделать и стандартными средствами (и может
даже без sudo в некоторых случаях).
Вопрос в том что это все равно ослабляет защиту. Вот тут то и
вспомнилось SE Linux с его ролями. И Maxim Tyurin
интересный проэкт подсказал (adamantix) (спасибо).
Всвязи с чем и появилось два вопроса:
1. Можно\стоит использовать их для этой цели (создавались они немного
для другой,
но защищенная система всегда хорошо).
2 . Если да, то сильно ли усложнится жизнь юзера (в adamantix - можно ли
будет ставить
игрушки с apt-get.org автоматом)
--
С уважением Николай Nicholas.moscow@ifrance.com
Reply to: