https://www.opennet.ru/openforum/vsluhforumID3/13368.html В статье "Getting Started with Multi-Category Security (MCS) (http://james-morris.livejournal.com/8228.html)" приводятся практические примеры использования, появившейся в тестируемом в настоящее время Linux дистрибутиве Fedora Core 5, функциональности SELinux, дающей возможность оперировать категориями. Т.е. можно значительно упростить работу с SELinux, определив несколько наборов правил (например, "Company_Confidential" или "Medical_Records") и дальше оперировать ими как атрибутами для управления доступом.<br><br><br><br>В предыдущей статье "А brief introduction to Multi-Category Security (MCS) (http://www.livejournal.com/users/james_morris/5583.html)" были изложены основные принципы MCS.<br><br>URL: http://james-morris.livejournal.com/8228.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=6840<br> https://www.opennet.ru/openforum/vsluhforumID3/13368.html#19 Wed, 01 Feb 2006 06:45:16 GMT Зато NDS eDirectory, работает как на Линухах, так и Соляре https://www.opennet.ru/openforum/vsluhforumID3/13368.html#18 Tue, 24 Jan 2006 09:11:37 GMT &gt;&gt;&gt;Кому надо, у того ACL есть и в fs<br><br>getfacl, setfacl - Это?<br><br> https://www.opennet.ru/openforum/vsluhforumID3/13368.html#17 Tue, 24 Jan 2006 07:04:03 GMT &gt;&gt;Кому надо, у того ACL есть и в fs<br>&gt; А где подобное в ФС найти? <br>В. Интернете. google.ru/search?q=ACL+filesystem и т.п.<br>http://acl.bestbits.at/ "The 2.6 kernel already includes support for ext2, ext3, jfs and xfs."<br>Ну, или в своём ядре. https://www.opennet.ru/openforum/vsluhforumID3/13368.html#16 Tue, 24 Jan 2006 06:01:48 GMT &gt;2Santa-Claus: в этом плане очень удобна ОС Novell с её NDS. Можно <br>&gt;быстро узнать права пользователя по отношению к каталогам и файлам. <br><br>Это да. Но эта ОС уже умерла. https://www.opennet.ru/openforum/vsluhforumID3/13368.html#15 Tue, 24 Jan 2006 06:00:47 GMT &gt;&gt;Ну, например вот permission entry для каталога в винде: <br>&gt;Это по-человечески называется ACL. Права доступа к файлам в виде списков, а <br>&gt;не триад ugo**rwx. Кому надо, у того ACL есть и в <br>&gt;fs<br><br>А где подобное в ФС найти?<br><br>&gt;SELinux (как и GRSec, и пр.) про другое, про ограничение прав [на <br>&gt;_действия_], уход от ситуации со всемогущим root-ом, более "мелкозернистое" определение этих <br>&gt;прав. Это, наверное, ближе к каким-нибудь policies в Win*. <br><br>Да и это тоже.<br><br>&gt;_будет_ и там, и тут сложно, нетривиально и проблемно. Только мне **кажется**, "непреодолимых" проблем "тут" будет <br>&gt;по-меньше. <br><br>Изначально базар был о том, что SELinux нужен.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/13368.html#14 Mon, 23 Jan 2006 12:42:01 GMT &gt;&gt;&gt;Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.<br>&gt;&gt;а можно поподробнее? не флейма ради, а знаний для.. <br>&gt;Ну, например вот permission entry для каталога в винде: <br>&gt;full control <br>&gt;traverse folder/execute file <br>&gt;list folder/read data <br>[...skip...]<br>&gt;и все это раздельно можно задавать для групп юзеров или по отдельным <br>&gt;юзерам. <br>Это по-человечески называется ACL. Права доступа к файлам в виде списков, а не триад ugo**rwx. Кому надо, у того ACL есть и в fs, и в самбе, я думаю.<br><br>SELinux (как и GRSec, и пр.) про другое, про ограничение прав [на _действия_], уход от ситуации со всемогущим root-ом, более "мелкозернистое" определение этих прав. Это, наверное, ближе к каким-нибудь policies в Win*.<br><br>&gt; проблемы в том, что нетривиально<br>То, что не белается "одной кнопкой", то есть было изначально реализовано разработчиками в виде этой самой "одной кнопки", _будет_ и там, и тут сложно, нетривиально и проблемно. Только мне **кажется**, "непреодолимых" проблем "тут" бу https://www.opennet.ru/openforum/vsluhforumID3/13368.html#13 Mon, 23 Jan 2006 12:35:54 GMT 2Santa-Claus: в этом плане очень удобна ОС Novell с её NDS. Можно быстро узнать права пользователя по отношению к каталогам и файлам. https://www.opennet.ru/openforum/vsluhforumID3/13368.html#12 Mon, 23 Jan 2006 10:15:33 GMT &gt;&gt;Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.<br>&gt;а можно поподробнее? не флейма ради, а знаний для.. <br><br>Ну, например вот permission entry для каталога в винде:<br>full control<br>traverse folder/execute file<br>list folder/read data<br>read attributes<br>read extended attributes<br>create files/append data<br>write attributes<br>write extended attributes<br>delete subfolders and files<br>delete<br>read permissions<br>change permissions<br>take ownership<br><br>и все это раздельно можно задавать для групп юзеров или по отдельным юзерам.<br><br>Правда такая гибкость порождает в свою очередь проблемы в том, что нетривиально (быстро и штатными ср-вами в удобочитаемом виде) узнать права всех юзеров на все каталоги. https://www.opennet.ru/openforum/vsluhforumID3/13368.html#11 Mon, 23 Jan 2006 09:22:21 GMT Гугл и форум ореннет переполнены призывами - спасите скорей ничего не делал, все развалилось! Потому что не хватает запрета менять владельца файлА, либо фичи сохранять владельца файлА, даже если его преписывает рут. 9/10 истерик о помощи - повышение или понижение прав на доступ к конфиг или спул файлам. Проделай лабораторную:<br><br>chmod u+w sudoers<br><br>Самое смешное, что посылать в ... sudo может тебя так, что ни в логах, ни в удаленной консоли ты ее ... не увидишь. Вот и чеши репу!<br><br>А был бы атрибут "не менять разрешений" - никто не налетал бы на это после "chmod -R u+w /usr/local/etc"