1 |
Сейчас режим обучения RBAC я не назвал бы продвинутым, хотя ранее я с
|
2 |
ним не работал. Прмерно %30-50 он генерит верно. Хотя еще от
|
3 |
приложения зависит. У меня в топе по занудству это postfix. Примерно
|
4 |
более недели создавал для него правила как методом обучения так и
|
5 |
простым просмотром логов и создания правил вручную.
|
6 |
|
7 |
30 сентября 2013 г., 16:56 пользователь Alex Efros
|
8 |
<powerman@××××××××.name> написал:
|
9 |
> Hi! |
10 |
> |
11 |
> On Mon, Sep 30, 2013 at 07:38:51PM +0800, Pavel Labushev wrote: |
12 |
>> Так и есть. Практика показала, что вместо возни с suidctl.conf, |
13 |
>> патчами и DAC-разрешениями на setuid-бинарники, гораздо надёжнее и |
14 |
>> почти так же просто написать простые разрешительные правила RBAC, |
15 |
>> жёстко ограничивая только привилегированные процессы, включая |
16 |
>> гадость вроде consolekit и policykit. К тому же, потом эти правила |
17 |
>> можно дополнять всем, к чему душа ляжет. |
18 |
> |
19 |
> Да, звучит разумно. Я так и не добрался до GrSec's RBAC/RSBAC/SeLinux. |
20 |
> SeLinux слишком переусложнён, RSBAC несовместим с GrSecurity, на AppArmor |
21 |
> я не смотрел. Самым привлекательным вариантом выглядит RBAC из GrSecurity, |
22 |
> но когда я много лет назад пытался с ним разобраться правила |
23 |
> сгенерированные режимом обучения были во-первых слишком большие и сложные, |
24 |
> а во-вторых нерабочие (много приложений глючило/падало и в каждом случае |
25 |
> уходило довольно много времени на то, чтобы выяснить что виноват RBAC и |
26 |
> поправить его правила). |
27 |
> |
28 |
> Идея использовать вместо режима обучения простые разрешительные правила по |
29 |
> умолчанию и постепенно их дополнять ручными ограничениями отдельных |
30 |
> приложений выглядит соблазнительно в плане сложность/безопасность. |
31 |
> Этот подход где-то документирован (статьи, примеры, etc.)? Можете выложить |
32 |
> свои правила в качестве примера/стартовой точки? |
33 |
> |
34 |
> -- |
35 |
> WBR, Alex. |