[castle] umount - New secfiles
Stanislav Ievlev
inger на altlinux.ru
Пн Сен 10 16:09:35 MSD 2001
Marat Khairullin wrote:
>----- исходное сообщение -----
>От: Stanislav Ievlev <inger на altlinux.ru>
>Тема: Re: [castle] umount
>
>>>Что самое не приятное - при reboot'е соответствующие проблеммы. Как правильнее решить эту проблемку?
>>>И наверно стоит поправить это в rsbac_init[_addon]...
>>>#!/bin/bash
>>>
>
>>Можно решить например так.
>>
>>1)Сделайте роль MOUNT (Скопируйте ее из роли System Admin)
>>2)Сделайте новый тип BOOT_DIR (класса FD как и HomeArea)
>>3)Настройте во всех ролях доступ к BOOT_DIR - все кроме запуска,удаления
>>и смонтирования/размонтирования.
>>
>
>А надо ли всем? SysAdmin - все, а SecOff - по чтению.
>
root не в коем случае не получит полных прав - это защита secoff от
посягательств со стороны администратора.
>
>
>>4) Для роли MOUNT сделайте всеобщий доступ к типу BOOT_DIR
>>5) Для роли MOUNT дайте право на отмонтирование Home_Area
>>6) А теперь медленно и осторожно присвойте:
>> a) програмам mount/umount rc_force_role=MOUNT (теперь они будут
>>запускаться с ролью MOUNT, а не System Admin)
>> b) каталогу /boot rc_type=BOOT_DIR
>>7) Не забудьте убрать старые права FF с /boot
>>
>>Ну как ;)
>>
>
>Отлично разложено по полкам!
>
>>-------------------------
>>Сложно, поэтому до сих пор не сделано по умолчанию.
>>Но скорее всего я исправлю соответствующим образом rsbac_init как только
>>найдутся или силы или время.
>>
>
>Я нашел время и силы. Отлаженный результат ниже - можно вставить в rsbac_init (можно поправить, если с чем-нибудь не согласны).
>
Большое спасибо.
Вы сподвигли меня на коренную модификацию пакета secfiles.
Итак, изменения:
- init-часть разделена на functions и дригие. Так что все стало более
читабельным и secoff'у гораздо проще создавать собственные скрипты.
- исправления на предмет mount/umount (спасибо Marat Khairullin)
- более аккуратная расстановка прав на /bin/login и sshd (раньше они
могли теоретически пускать кого угодно, теперь только пользователей и
secoff'а).
Ждите в Сизифе ;)
>
>
>А неплохо бы составить TODO список (с приоритетами) - может не только я найду время...
>
:)
>
>
>
>
>
----------- следущая часть -----------
�3�Q�Ъ╕*^╝f╒≈В�╡ы^Щ╚miхfz{lЪm4вOuсЖ⌡ЦгЫ©з╤ж°├g╖╤�f
Подробная информация о списке рассылки Castle