[castle] пара вопросов

[Stanislav Ievlev]

Arkady A Drovosekov wrote:

>Hi,
>к разработчикам:
>1 - у Вас не было мысли сделать для каждого демона свою роль, в которой он
>сможет писать/читать только свои рабочие файлы?
>
Мысли были - возможности (сил и времени) не было.

Следующее предложение относится ко всем подписчикам списка Castle:

- если у Вас есть какие-либо интересные конфигурации RSBAC, оформленные 
в виде скриптов (пример /etc/rc.d/scripts/rsbac_init*)  присылайте.
- если у Вас появились какие-нибудь интерсные идеи (даже просто 
забавные) по использования RC-Redurect присфлайте.

Самые лучшие и полезные конфигурации несомненно войдут в дистрибутив.

>
>2 - зачем нужна aide/tripwire понятно. А как контролировать права, которые даны
>в rsbac? т.е. acl/rc/ff/... В голову приходят всякие извращения с attr_get_fd
>и подобное
>
Поскольку они являются дополнительными правами, то понятно, что никто 
ничего подобного еще не делал. Можно конечно извращаться с attr_get_fd, 
но для начала надо дочистить RSBAC, чтобы соответствующие аттрибуты были 
доступны на чтение для всех, а не secoff - у меня это запланировано уже 
давно, но никак не доберусь :(

Вы подали хорошую мысль, по поводу добавления соответствующей 
возможности в AIDE. Спасибо.
Правда с автором AIDE контактировать тяжело, но ничего, что-нибудь 
придумаем.

>