| Unix security |
[Nov. 9th, 2013|06:28 pm] |
|
|
|
|
| Comments: |
![[User Picture]](http://lj.rossia.org/userpic/191927/26445) | | From: | ![[info]](http://lj.rossia.org/img/userinfo.gif) herm1t |
|---|
| Date: | November 12th, 2013 - 04:18 pm |
|---|
| | | (Link) |
|
"это костыли"
для убогой системы прав. 3*3+3 - это убожество.
ACL (но вменяемые) - это очень неплохо.
а MAC с integrity/confidentiality это военно-бюрократические игрища.
есть capabilities... знаю, все знаю. :-)
по-хорошему, нужно несколько дополнительных настроек в ядре/sysctl, и умолчанию по ним, расчитанные не на devel, а на production. а с точки зрения безопасности, пригодились бы простые ACL, и отдельный вариант загрузки для работы с правами, чтобы базы пакетов, настройки, ACL хранились отдельно и были недоступны никому, даже руту.
ну хоть kmem, kallsyms попрятали :-)))
"то уже даже рут себе права поменять на него не может,"
vi syscall_permissions.conf
reboot
:-)
![[User Picture]](http://lj.rossia.org/userpic/197531/22349) | | From: | ketmar |
|---|
| Date: | November 12th, 2013 - 04:24 pm |
|---|
| | | (Link) |
|
>то уже даже рут себе права поменять на него не может
я имел в виду — до ребута. %-)
>3*3+3 - это убожество
да ладно. местами ужас, конечно, но не ужас-ужас-ужас. не хватает разве что возможности указать, что некий юзер «менее привилегированый» чем другой (т.е. иерархии) — для того, чтобы в «порезаного» юзера можно было дропнуться без рута. ну, и для групп то же самое.
или обвесить всё ядро ACL-ками — но это, кажется, и делают всякие LSM-ы.
я думаю, что для практических целей во многих случаях было бы достаточно иерархии пользователей/групп. запустилась софтина, провела свой инит и дропнулась в порезаного юзера. и всё. | |
