1 |
On Mon, 30 Sep 2013 15:56:09 +0300
|
2 |
Alex Efros <powerman@××××××××.name> wrote:
|
3 |
|
4 |
> Идея использовать вместо режима обучения простые разрешительные правила по |
5 |
> умолчанию и постепенно их дополнять ручными ограничениями отдельных |
6 |
> приложений выглядит соблазнительно в плане сложность/безопасность. |
7 |
> Этот подход где-то документирован (статьи, примеры, etc.)? Можете выложить |
8 |
> свои правила в качестве примера/стартовой точки? |
9 |
|
10 |
Нет, свои правила выложить не могу из параноидальных соображний. ;)
|
11 |
Специальных статей и примеров не встречал, но и не искал. Всё было легко
|
12 |
постигнуто методом проб и ошибок вкупе с чтением базовой документации
|
13 |
на RBAC.
|
14 |
|
15 |
Основные правила - чтобы работала авторизация в gradm, включение и
|
16 |
отключение RBAC, произвольный доступ для субъектов пользователя root и
|
17 |
базовые ограничения для default - можно обкатать в виртуалке, запустив
|
18 |
там копию своей системы. Я так и сделал в своё время, а глобальным
|
19 |
режимом обучения даже ни разу не пользовался. Дальше можно задавать
|
20 |
ограничения уже на живой системе вручную или через обучение по
|
21 |
отдельным субъектам. |