[castle] secfiles, etc...

[Stanislav Ievlev]

Arkady A Drovosekov wrote:

>Hi,
>Станислав, у Вас не было мыслей выключить прямой доступ к портам/памяти/дискам
>у роли System_Admin? Ему, вроде, это незачем...
>Вот, кстати, гляньте на скриптец - он диски (не все, конечно) отдает на прямой
>доступ только для fsck и mount
>
Я скоро должен уезжать - так что Ваш скрипт с удовольствием посмотрю 
через неделю
--------------------------------------------
C наилучшими пожеланиями
Станислав Иевлев

>
>
>------------------------------------------------------------------------
>
>#!/bin/sh
>. /etc/rc.d/scripts/rsbac_functions
>rc_get_dev_type()
>{
>    local type_number
>    type_number=`"$rc_get_item" list_used_dev_types | grep "$1" | cut -f 1 -d ' '`
>    if test -z $type_number; then
>	type_number=`"$rc_get_item" list_unused_dev_type_nr | head -n 1`
>    fi
>    "$rc_set_item" TYPE $type_number type_dev_name "$1"
>    return $type_number
>}
>
>rc_create_role_from "System_Admin" "Disk_Admin";DISK_ADMIN=$?
>rc_create_role_from "System_Admin" "Mount_Role";MOUNT_ROLE=$?
>rc_get_dev_type "Disk_device";DISK_TYPE=$?
>
>for t in hd sd ; do
>  # IDE or SCSI
>  for d in a b c d e f g h ; do
>    # phisycal disks
>    for p in "" 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16; do
>      # partitions
>      attr_set_file_dir DEV /dev/${t}${d}${p} rc_type $DISK_TYPE
>    done
>  done
>done
>
>grant_rights_to_role $DISK_ADMIN $DISK_TYPE "RW"
>grant_rights_to_role $MOUNT_ROLE $DISK_TYPE "MOUNT UMOUNT"
>set_forced_role /bin/mount $MOUNT_ROLE
>set_forced_role /bin/umount $MOUNT_ROLE
>set_forced_role /sbin/e2fsck $DISK_ADMIN
>set_forced_role /sbin/reiserfsck $DISK_ADMIN
># fdisk ???
>#set_forced_role /sbin/fdisk $DISK_ADMIN
>


----------- следущая часть -----------
3QЪ╕*^╝f╒≈В╡ы^Щ╚miхfz{lЪm4в]6шВ4}╫÷uОз╤ж°├g╖╤f