| 1 |
Сейчас режим обучения RBAC я не назвал бы продвинутым, хотя ранее я с
|
| 2 |
ним не работал. Прмерно %30-50 он генерит верно. Хотя еще от
|
| 3 |
приложения зависит. У меня в топе по занудству это postfix. Примерно
|
| 4 |
более недели создавал для него правила как методом обучения так и
|
| 5 |
простым просмотром логов и создания правил вручную.
|
| 6 |
|
| 7 |
30 сентября 2013 г., 16:56 пользователь Alex Efros
|
| 8 |
<powerman@××××××××.name> написал:
|
| 9 |
> Hi! |
| 10 |
> |
| 11 |
> On Mon, Sep 30, 2013 at 07:38:51PM +0800, Pavel Labushev wrote: |
| 12 |
>> Так и есть. Практика показала, что вместо возни с suidctl.conf, |
| 13 |
>> патчами и DAC-разрешениями на setuid-бинарники, гораздо надёжнее и |
| 14 |
>> почти так же просто написать простые разрешительные правила RBAC, |
| 15 |
>> жёстко ограничивая только привилегированные процессы, включая |
| 16 |
>> гадость вроде consolekit и policykit. К тому же, потом эти правила |
| 17 |
>> можно дополнять всем, к чему душа ляжет. |
| 18 |
> |
| 19 |
> Да, звучит разумно. Я так и не добрался до GrSec's RBAC/RSBAC/SeLinux. |
| 20 |
> SeLinux слишком переусложнён, RSBAC несовместим с GrSecurity, на AppArmor |
| 21 |
> я не смотрел. Самым привлекательным вариантом выглядит RBAC из GrSecurity, |
| 22 |
> но когда я много лет назад пытался с ним разобраться правила |
| 23 |
> сгенерированные режимом обучения были во-первых слишком большие и сложные, |
| 24 |
> а во-вторых нерабочие (много приложений глючило/падало и в каждом случае |
| 25 |
> уходило довольно много времени на то, чтобы выяснить что виноват RBAC и |
| 26 |
> поправить его правила). |
| 27 |
> |
| 28 |
> Идея использовать вместо режима обучения простые разрешительные правила по |
| 29 |
> умолчанию и постепенно их дополнять ручными ограничениями отдельных |
| 30 |
> приложений выглядит соблазнительно в плане сложность/безопасность. |
| 31 |
> Этот подход где-то документирован (статьи, примеры, etc.)? Можете выложить |
| 32 |
> свои правила в качестве примера/стартовой точки? |
| 33 |
> |
| 34 |
> -- |
| 35 |
> WBR, Alex. |
Archives