[castle] Re: [castle] Несколько вопросов

[Stanislav Ievlev]

Igor Dobryninskiy wrote:

>  Здравствуйте.
>
>  Решил покрутить ALTLinux Castle Beta3 с RSBAC'ом и понял, что это то,
>чего мне всегда недоставало. :) AUTH, RC и ACL на Linux'е - я об этом
>мечтал всю жизнь... С нетерпением жду выхода релиза с прицелом обязательно
>купить.
>
>  А теперь собственно вопросы:
>1. Зачем введено ограничение на количество RC Roles и RC Types? Для RC
>   Type FD 64 типа явно мало, да и 32 роли тоже как-то негусто.
>
Ограничения вызваны прежде всего тем, что так проще реализовать и так 
надежнее. В ядре принято иметь ограничения на все параметры. Если 
какой-то параметр допускает произвольное ограничение, то сразу 
потенциально возникают проблемы.

Кроме того вряд ли в ближайшее время потребуется более 60 ролей и типов. 
В самой последней версии secfiles 6 ролей  и приблизительно столько же 
типов уже перекрывают практически все нужды по тонкому разраничению 
доступа. Может быть их количество увеличится до  10 но вряд ли больше. 
Если модель сделана корректно, то один тип(роль) будет использоваться 
для большого количества реальных объектов.

Но тем не менее, если сможете привести реальную задачу в которой Вам 
потребуется столь много ролей(типов) - возможно убедим автора увеличить 
лимит.

>
>2. Можно ли задавать диапазон AUTH Capabilities? 
>
Можно. auth_set_cap FILE add /bin/login 400:65535
Посмотрите как в последнем secfiles проставлены ограничения на /bin/login ;)

>Или, к примеру, разрешить
>   менять uid на любой, кроме некоторых.
>
Реализуется через диапазоны.

> А то su - штука в жизни полезная,
>   но давать root'у возможность сделать su на secoff совершенно не
>   хочется.
>
В этом нет никакой необходимости. Вы первый, кому это понадобилось. 
Интересно зачем?
Более того, мы наоборот приложили все усилия чтобы такой переход был 
практически невозможен.

>
>3. Есть ли где-нибудь рекомендации по настройке безопасности сервисов,
>   поставляемых в дистрибутиве? Имеются в виду www, ftp, mysql и т.п. -
>   то, к чему нужно давать доступ снаружи.
>
Общие рекомендации очевидные - минимум привилегий ;)
Более точных очевидно нет - все зависит от конкретной задачи: В одном 
случае чем-то можно пренебречь за счет высоких требований к 
функциональности, а в других требуются максимальные ограничения пусть 
даже в ущерб удобству и производительности.

>
>4. Этот вопрос, правда, скорее в Sisyphus, но всё же - есть ли в
>   дистрибутиве socks5-сервер?
>
>--
>  С уважением - Игорь Добрынинский, инженер
>  Архангельская телевизионная компания
>  +7 818 2207227, egor на atknet.ru
>
>_______________________________________________
>Castle mailing list
>Castle на altlinux.ru
>http://altlinux.ru/mailman/listinfo/castle
>