[castle] read proc - Operation not permitted
Stanislav Ievlev
inger на altlinux.ru
Пн Окт 29 10:40:33 MSK 2001
Marat Khairullin wrote:
>On Fri, 26 Oct 2001 15:00:05 +0400
>Stanislav Ievlev <inger на altlinux.ru> wrote:
>
>>Marat Khairullin wrote:
>>
>>>On Sun, 21 Oct 2001 19:18:37 +0300 (MSK)
>>>Marat Khairullin <xmm на rambler.ru> wrote:
>>>
>>>
>>>Было бы здорово иметь soft_mode флаг не только для всего ядра, но и для каждой команды, когда ядро не в soft_mode.
>>>
>>Не совсем понял, что такое "каждая команда". Модули можно отключать по
>>очереди (вы это и сделали).
>>
>Например:
>$ rc_set_item <что-то типа --soft-mode> ROLE System_Admin type_comp_fd Home_Area MODIFY_PERMISSIONS_DATA 0
>$ attr_set_fd <что-то типа --soft-mode> FILE ff_flags 1 /xxx/xxx
>И либое нарушение этих правил должно приводить только к сообщениям в логах, а не запрещению какой-то операции.
>Это позволит отлаживать новые правила безопасности без отключения старых правил как в случае загрузки ядра в
>soft_mode или отключении каких-то модулей.
>После тестирования запустить те же команды без этой опции и все OK.
>
То есть на каждом (!) аттрибуте в базе будет стоять флаг , означающий
режим. Идея несомненно интересная, но налицо, потеря производительности
в обоих режимах, так как придется делать проверки и по нескольку раз(при
обработке очередного аттрибута - для MAC таких аттрибутов 10!) для
каждого вызова. Также это чревато общим усложнением алгоритмов. То есть
в каждой функции будет держаться флаг, включающийся если хотя бы одно
значение будет типа "soft". Усложняется передача ответа , так как помимо
кода ошибки будет возвращаться индикатор soft режима.
Более того при введении подобного для RC или ACL вместо одномерных
векторов придется использовать двумерные ,как следствие, усложняется
хранение в базе.
Вывод - пока это слишком дорогое решение. Хочется, чтобы сложность RSBAC
не нарастала такими темпами.
Может быть разумным компромисом будет soft режим для каждого модуля? Как
Вы смотрите на это?
>
----------- следущая часть -----------
�3�Q�Ъ╕*^╝f╒≈В�╡ы^Щ╚miхfz{lЪm4в]6ВЧ�вч�Цъз╤ж°├g╖╤�f
Подробная информация о списке рассылки Castle