From: Alexander Tiurin <alexanderyt@gmail.com>
To: gentoo-user-ru@lists.gentoo.org
Subject: Re: [gentoo-user-ru] capabilities
Date: Wed, 2 Oct 2013 01:36:51 +0400 [thread overview]
Message-ID: <CAK2Q6vCfWhjHBKU8pXO4ocW8ir3iVnFBReQYTKB6vcvbW4eOXA@mail.gmail.com> (raw)
In-Reply-To: <20130930125609.GB1887@home.power>
Сейчас режим обучения RBAC я не назвал бы продвинутым, хотя ранее я с
ним не работал. Прмерно %30-50 он генерит верно. Хотя еще от
приложения зависит. У меня в топе по занудству это postfix. Примерно
более недели создавал для него правила как методом обучения так и
простым просмотром логов и создания правил вручную.
30 сентября 2013 г., 16:56 пользователь Alex Efros
<powerman@powerman.name> написал:
> Hi!
>
> On Mon, Sep 30, 2013 at 07:38:51PM +0800, Pavel Labushev wrote:
>> Так и есть. Практика показала, что вместо возни с suidctl.conf,
>> патчами и DAC-разрешениями на setuid-бинарники, гораздо надёжнее и
>> почти так же просто написать простые разрешительные правила RBAC,
>> жёстко ограничивая только привилегированные процессы, включая
>> гадость вроде consolekit и policykit. К тому же, потом эти правила
>> можно дополнять всем, к чему душа ляжет.
>
> Да, звучит разумно. Я так и не добрался до GrSec's RBAC/RSBAC/SeLinux.
> SeLinux слишком переусложнён, RSBAC несовместим с GrSecurity, на AppArmor
> я не смотрел. Самым привлекательным вариантом выглядит RBAC из GrSecurity,
> но когда я много лет назад пытался с ним разобраться правила
> сгенерированные режимом обучения были во-первых слишком большие и сложные,
> а во-вторых нерабочие (много приложений глючило/падало и в каждом случае
> уходило довольно много времени на то, чтобы выяснить что виноват RBAC и
> поправить его правила).
>
> Идея использовать вместо режима обучения простые разрешительные правила по
> умолчанию и постепенно их дополнять ручными ограничениями отдельных
> приложений выглядит соблазнительно в плане сложность/безопасность.
> Этот подход где-то документирован (статьи, примеры, etc.)? Можете выложить
> свои правила в качестве примера/стартовой точки?
>
> --
> WBR, Alex.
prev parent reply other threads:[~2013-10-01 21:36 UTC|newest]
Thread overview: 5+ messages / expand[flat|nested] mbox.gz Atom feed top
2013-09-30 10:22 [gentoo-user-ru] capabilities Alex Efros
2013-09-30 11:38 ` Pavel Labushev
[not found] ` <20130930113958.46371E0B8D@pigeon.gentoo.org>
2013-09-30 12:56 ` Alex Efros
2013-09-30 13:09 ` Pavel Labushev
2013-10-01 21:36 ` Alexander Tiurin [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=CAK2Q6vCfWhjHBKU8pXO4ocW8ir3iVnFBReQYTKB6vcvbW4eOXA@mail.gmail.com \
--to=alexanderyt@gmail.com \
--cc=gentoo-user-ru@lists.gentoo.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
Be sure your reply has a Subject: header at the top and a blank line
before the message body.
This is a public inbox, see mirroring instructions
for how to clone and mirror all data and code used for this inbox