[castle] Yet another gluck of me
Stanislav Ievlev
inger на altlinux.ru
Вт Июл 31 11:38:20 MSD 2001
Ilya Evseev wrote:
> Hi!
>
> Не могли бы Вы пояснить причину, по которой msec планируется
> удалить из дистрибутива Castle? msec, на мой взгляд, делает
> большое количество полезных, рутинных, сложных проверок и настроек.
> На какой компонент будут переложены эти обязанности?
>
> Или теперь все настройки будут жестко зашиты в дистрибутив
> без возможности редактирования, так что менять их можно будет только
> вручную?
> Кстати, удалением linuxconf и drakxconf я тоже не очень доволен.
>
> Мне тут потребовалось IP-алиасы сетевой карте добавить,
>
> так я пол-дня проразвлекался, разбираясь, как должен выглядеть
> этот долбаный /etc/sysconfig/network-scripts/if-eth0 :0.
> А дело-то было всего в паре символов ...
>
Мы тоже озабочены отсутствием набора примитивных утилит для некоторых
элементарных настроек.
Имеющиеся linuxconf и drakconf не устраивают так как далеко не всегда
работают как надо. Особенно это касается drakxtools, чья глючность уже
нас замучила.
Требования к утилитам настройки для Castle:
- Должны уметь работать только в текстовом режиме (что далеко не всегда
например получается у linuxconf)
- Должны быть максимально простыми - излишний интеллект нам тут ни к
чему. Очень неприятно когда программы любят менять права на файлы. А
найти глюк внутри мегатонн функций linuxconf не так просто.
- Должны быть аккуратно написанными (например с точки зрения создания
временных файлов, SUIDности, потенциальное переполнение буффера)
- Должны правильно производить настройки (как оно ни странно звучит)
Если вам известно что-то хоть подходящее сообщайте - любые предолжения
приветствуются.
Скорее всего где-то в районе beta4 некий набор утилит появится.
Что касается msec, то:
1. Наличие нескольких уровней не является необходимым. Тем более что
реально сложно гарантировать что уровень с большей защитой даст больше
безопасности. У msec уровень повышается ужесточением прав доступа у
пользователей (зачастую излишним) и усложнением входа/перехода с
пользователя на администратора. Это не панацея, а скорее страшилка.
Грамотный администратор ,а именно на них ориентирован Castle (именно
поэтому там никогда не будет утилит настроек "для чайников"), всегда
настроит права правильней исходя из текущей задачи.
2. Контроль целостности можно произведить и более серьезными средстави
типа aide/tripwire.
3. Остается только получение списков world-writeable,suid etc. файлов -
но грамотный (подчеркиваю это слово) администратор сможет сделать это
одной командой.
4. Сомнительна возможность интеграции msec с RSBAC.
> Пакет msec видимо не будет поддерживаться в финальной версии
> Castle. Это остатки от Mandrake.
>
----------- УМЕДХЭБС ЮБУФШ -----------
3QЪ?*^?f??В?ы^Щ?miхfz{lЪm4вNВвЪtш?5Цoз?ж°?g??f
Подробная информация о списке рассылки Castle