Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Роли ACL.

Рубрика: Безопасность -> Управление доступом
Метки: | |
Среда, 1 июля 2009 г.
Просмотров: 5377
Подписаться на комментарии по RSS

Одна из новейших функций Grsecurity - это RBAC, предоставляющая ад­министратору дополнительный контроль над элементами. В этой реали­зации RBAC ведущим понятием представляется роль: один или более субъектов могут исполнять какую-то роль, вы можете объявить один и тот же объект несколько раз, но для различных ролей.

     Роль отображается следующим образом:

role <имя роли> - <необязательные режимы роли>


     Режимы роли:

  • А - роль администратора, разные ограничения, к примеру на ис­пользование ptrace, снимаются;
  • g — роль группы;
  • G - разрешено употребление утилиты gradm;
  • l - режим обучения данной роли;
  • N - для данной роли не нужна аутентификация;
  • S - специальная роль, для которой не применяются ACL;
  • Т- обучение ТРЕ (Trusted Path Execution);
  • u — пользовательская роль.

     Роль default надо употреблять, чтобы применить ACL к пользователям, у которых нет роли, например:

role default subject / {

/ r

/opt rx

/home rwxcd

/mnt r

/dev

/dev/grsec h

/dev/urandom r

/dev/random r

-CAP_ALL

connect 192.168.1.0/24:22 stream tcp bind 0.0.0.0 stream dgram tcp udp

}

role admin sA subject / r {

/ rwcdmxi }

     В конкретном примере пользователям локальной сети было запрещено регистрироваться на удаленных машинах с помощью SSH и наложены ограничения на доступ к некоторой части файловой системы. Роль admin перезаписыва­ет элемент /, устанавливая более слабые ограничения.

     Для дополнительной безопасности нужно определить роль role_ allow_ip, разрешающую соединения с определенного адреса:

role_allow_ip <Iр>/<сетевая маска>

     К примеру:

role_allow_ip 192.168.10.1/32

     Еще есть роли для определения переходов. Переходы применяются толь­ко к ролям, отмеченным как специальные (режим s):

role_transitions <спец. группа 1> <спец. группа 2>...<спец. группа N>

     К примеру, чтобы разрешить пользователям роли по умолчанию (default) принять роль admin или admin_www, применяется следующая запись:

role default G

role_transitions admin admin_www

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена.

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email.
(При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д.)



(обязательно)