[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: separación de privilegios

On Fri, Sep 15, 2006 at 11:20:23AM +0200, Javier Terceiro wrote:
> Hola.
> 
> Puedes probar a definir grupos o permisos para usuarios según lo que
> pretendan hacer. Me explico, si quieres darle permisos para grabar a unos
> determinados usuarios, pues creas el grupo grabadora (por defecto es burn,
> creo recordar) y los agregas a dicho grupo, por lo tanto ya tendrá los
> permisos suficientes para poder hacer lo que pretendes. Es mas complicado
> para ti como administrador, pero te salvara de darles root.
> 
> Y no te preocupes, es muy raro que tengas que tocar la config del kernel
> para administrar permisos de usuarios, aunque si es un servidor grande casi
> te compensaria mas un kernel propio mas optimizado, aunque eso ya es cosa de
> cada admin.
> 

La cuestión es que no se si voy a tener que ceder con la clave de root
porque realmente se trata de un servidor muy dinámico: cuentas de ssh
creandose, eliminandose, web, smtp, imap, pop, samba, ... No es el mejor
plan pero no esta en mis manos.

Sin embargo, me ha parecido localizar el parche LIDS para el kernel
puede ser una buena solución ya que permite crear ACLs. La idea sería
poner ACLs en el /home de los usuarios para que un usuarios con la
contraseña de root poco ético no podría ver sus archivos ni sus mails
(que se hallan en la carpeta ~/Maildir).

¿Alguien ha utilizado LIDS antes? ¿Me podría servir? ¿Hay otras
herramientas similares? La idea es partiendo del principio que es muy
posible que tenga que compartir la clave de root, limitar la
funcionalidad de root en el sistema. 

Un saludo,

-- 
Christian Pinedo Zamalloa
Reply to: