From: "Evgeny Sinelnikov" <sin@altlinux.ru>
To: "ALT Linux Team development discussions" <devel@lists.altlinux.org>
Subject: Re: [devel] Проблемы привилегий и ролей
Date: Fri, 22 Feb 2008 00:30:04 +0300
Message-ID: <921f6bb40802211330y67267897i400ba23d204ca818@mail.gmail.com> (raw)
In-Reply-To: <200802212119.15010@ruslandh>
2008/2/21 Хихин Руслан <hihin@yandex.ru>:
> Здравствуйте Evgeny Sinelnikov
> В сообщении от 21 февраля 2008 Evgeny Sinelnikov написал(a):
> > 2008/2/21 Хихин Руслан <hihin@yandex.ru>:
> > > Здравствуйте Evgeny Sinelnikov
> > > В сообщении от 21 февраля 2008 Evgeny Sinelnikov написал(a):
> > > Вы предлагаете Rsbac или Selinux ?
> >
> > Ни то, ни другое... Эти два проекта расширяют возможности
> > аворизации.
> .......................
>
> > Вообще этот подход позволяет решить вопрос, который был поставлен,
> > простым
> > скриптом в спек-файле, то есть даже не обязательно реализовывать
> > вариант с
> > /etc/role.d файлами.
> Мне нравится, а что надо для реализации вашей идеи ?
>
Для начала нужно написать nss-модуль, который будет интерпретировать
новые файлы настройки и назначать права:
http://www.gnu.org/software/libc/manual/html_node/Name-Service-Switch.html
Далее написать набор утилит для манипулирования ролями:
roleadd, roledel, rolemod
Но сначала нужно определиться с политикой использования этого модуля.
Такие детали, как установка модуля через rpm и возможно его
автоматическое подключение, можно пока опустить. Это суть политики не
определяет.
Нужно определиться с тем как мы решаем проблемы с помощью этого модуля:
0) Именование ролей и их соотвествие группам. Будут у нас роли
отдельной сущностью или являться группой?
Отдельная сущность может иметь отдельное название, а группа должна
совпадать по имени с соотвествующей группой или иметь с ней
соответствие.
1) Список первоначально заданных ролей
Предлпагаю:
user, power и admin
2) Роль назначаемая для вновь создаваемых пользователей, по умолчанию
user или power - Где хранить эту настройку?
3) Список первоначальных привилегий для ролей:
Для user ?
Для power ?
Для admin ?
4) Формат хранения данных для ролей. По сравнению с редыдущем примером
хочу предожить такой вариант:
/etc/role
#name:gid:pivilegies_gids:users_uids
user:100:80,119:
admin:10:57,35:
power:200:
для gid'ов 10,100 и, к примеру, 200 записи о группах должны
присутствовать в /etc/group, в противном случае роль игнорируется (или
нет? может разрешить безгрупповые роли?)
5) Нужно определиться с политикой добавления пакетами политик по умолчанию:
5.1) запускать утилиты в скриптах RPM-пакета.
5.2) добавлять политики по умолчанию файлами в специальный каталог
/etc/role.d. Для этого нужно определиться с форматом добавляемых
файлов. Например, таким:
/etc/role.d/application:
#name:pivilegies_gids:users_uids
user:510:
где, 510 - это gid важный для приложения application, например samba.
--
Sin (Sinelnikov Evgeny)
next prev parent reply other threads:[~2008-02-21 21:30 UTC|newest]
Thread overview: 21+ messages / expand[flat|nested] mbox.gz Atom feed top
2008-02-21 5:27 ` Хихин Руслан
2008-02-21 18:19 ` Хихин Руслан
2008-02-21 21:30 ` Evgeny Sinelnikov [this message]
2008-02-21 22:29 ` Dmitry V. Levin
2008-02-21 22:51 ` Evgeny Sinelnikov
2008-02-21 23:46 ` Led
2008-02-22 7:33 ` Anton Farygin
2008-02-22 9:35 ` Evgeny Sinelnikov
2008-02-22 13:24 ` Денис Смирнов
2008-02-22 11:13 ` Michael Shigorin
2008-02-22 13:43 ` Evgeny Sinelnikov
2008-02-22 13:57 ` Led
2008-02-22 14:01 ` Mikhail Gusarov
2008-02-22 14:30 ` Evgeny Sinelnikov
2008-02-23 5:01 ` Хихин Руслан
2008-02-22 13:23 ` Денис Смирнов
2008-02-23 5:04 ` Хихин Руслан
2008-02-21 6:36 ` Ildar Mulyukov
2008-02-21 6:45 ` Ildar Mulyukov
2008-02-21 10:11 ` Alexey Shabalin
2008-02-21 11:33 ` Eugene Ostapets
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=921f6bb40802211330y67267897i400ba23d204ca818@mail.gmail.com \
--to=sin@altlinux.ru \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git