[castle] read proc - Operation not permitted

[Marat Khairullin]

On Mon, 29 Oct 2001 10:40:33 +0300
Stanislav Ievlev <inger на altlinux.ru> wrote:
 
> То есть на каждом (!) аттрибуте в базе будет стоять  флаг , означающий 
> режим. Идея несомненно интересная, но налицо, потеря производительности 
> в обоих режимах, так как придется делать проверки и по нескольку раз(при 
> обработке очередного аттрибута - для MAC таких аттрибутов 10!) для 
> каждого вызова. Также это чревато общим усложнением алгоритмов. То есть 
> в каждой функции будет держаться флаг, включающийся если хотя бы одно 
> значение будет типа "soft". Усложняется передача ответа , так как помимо 
> кода ошибки будет возвращаться индикатор soft режима.
> 
> Более того при введении подобного для RC или ACL вместо одномерных 
> векторов придется использовать двумерные ,как следствие, усложняется 
> хранение в базе.
> 
> Вывод - пока это слишком дорогое решение. Хочется, чтобы сложность RSBAC 
> не нарастала такими темпами.
> Может быть разумным компромисом будет soft режим для каждого модуля? Как 
> Вы смотрите на это?

Выключение всего модуля - означачает снижение безопасности до обычного unix'а.
Если для моих систем это не страшно (я вообще могу обойтись только FF модулем),
то для действительно серьезных систем это недопустимо.

Но на без рыбье, и рак...

-- 
Marat Khairullin        8->     mailto:xmm на rambler.ru
               	                Marat.Khairullin на f92.n5049.z2.fidonet.org