[mdk-re] Re: [mdk-re] Re: [mdk-re] Сновакомпиляцияядра.

[Alexander Bokovoy]

On Fri, May 18, 2001 at 02:56:37PM +0600, vic ismakaev wrote:
> > > В принципе, вы правы. Просто , например, для файл-сервера - RSBAC слишком
> > > наворочен. А trustees - самое то. Да и скрестиь их с LDAP - не такая
> > > большая проблема(как мне кажется).
> >
> > RSBAC очень модульная система, Вы можете использовать только то, что
> > нужно, и не думать о других возможностях.
> >
> > Вам потребуется trustees, а через пару месяцев -- мандатный доступ, потом
> > еще что-нибудь -- и для всего этого придется патчить ядро и использовать
> > несовместимые средства настройки. Как системный администратор, я бы от
> > этого отказался в пользу более фундаментального средства.
> Согласен. Но привычка :)))
> Кстати, есть ли преценденты построения мощных хостинговых систем на основе 
> RSBAC? Или он для подобных целей не подойдет?
Как раз подойдет, особенно, если ставится задача обеспечения защищенности
данных клиента даже от системного администратора хостера. Насчет
прецедентов сказать не могу, это нужно смотреть на RSBAC.org, но Амон Отт
достаточно много заказов в Германии имеет.

В ALT Linux Castle есть скрипт-пример настройки RSBAC для ограничения
Apache.

> И еще, как в системах с RSBAC обстоят дела с алтернативными методами 
> авторизации (PAM,LDAP,NIS+, etc).
Передаю право ответа Станиславу Иевлеву как одному из разработчиков RSBAC :-)

--
Sincerely yours, Alexander Bokovoy 
  The Midgard Project   | www.midgard-project.org | ALT Linux Team
Minsk Linux Users Group |    www.minsk-lug.net    | www.altlinux.ru
-- You won't skid if you stay in a rut.
		-- Frank Hubbard