Зарегистрирован: 07.02.2008 Сообщения: 623 Откуда: Москва
Всем привет! Встала тут передо мной задача по безопасности, может, кто-нибудь посоветует?
Имеем: n-ное количество *nix серверов, к которым имеют рутовый доступ несколько админов с разными учётками. Задача: необходимо сохранить все права, но запретить доступ к папкам, в частности /var/log и /var/adm (в основном, Solaris и AIX), т.е. чтобы никто не мог затереть журнал, какими бы правами он ни обладал.
Есть соображения? Я вот думаю поиграть с access-listами, просто раньше ничем подобным заниматься не приходилось. Я на правильном пути?
Всем заранее спасибо. _________________
У нас, подобной важности, электронный документооборот, файлы находятся под защитой программных модулей персональных и межсетевых экранов Vipnet, и за них и их защиту отвечает криптограф (не программист) который даже находится в другом городе...
зы. в виндовсе было бы проще осущесствить поставленную задачу. в GUI
сорри за офф
а что, в линуксе можно так разграничить права что и root затереть не сможет?
Зарегистрирован: 07.02.2008 Сообщения: 623 Откуда: Москва
Всем огромное спасибо. den, Solaris Trusted Extensions - это, конечно, вариант, но, как я понимаю, его надо покупать (если там не 10-я версия, куда оно интегрировано - это я узнаю позже). И уметь пользоваться. Я на планёрке (три часа осталось...), конечно, предложу (надо хоть какой-нибудь рабочий вариант предложить), но, боюсь, как бы не оказаться в роли того самого мудрого филина, который предложил мышкам стать ежиками, чтобы их другие звери не обижали... Вдруг там 9-я стоит? Может, есть варианты попроще, с привлечением стандартных юниксовых средств? Или ruslan89 прав, и ничего сделать не получится? _________________
Зарегистрирован: 07.02.2008 Сообщения: 623 Откуда: Москва
В общем, предложил вполне рабочий вариант: отобрать рутовые права, создать именованых пользователей и через sudo предоставить им только те права, которые им нужны, а на те самые папки наложить access-listы.
Ещё раз всем спасибо! _________________
Ingvar, лично я склоняюсь к созданию группы типа "logs", затем "chgrp logs <папка с логами>" и затем выставлению прав в 0770 или что-то типа того. _________________ ArchLinux + Enlightenment 17 (E17)
Зарегистрирован: 18.01.2009 Сообщения: 1365 Откуда: ua Кропивницкий
А что нельзя создать папку,куда будут параллельно записываться данные,но права доступа будут только у владельца/создателя. _________________ помощь в личку платно.Удалю вирус,шелл с сайта Джумла, Битрикс .
Создам плагин , модуль под заказ для VirtueMart , JoomShopping
В общем, предложил вполне рабочий вариант: отобрать рутовые права, создать именованых пользователей и через sudo предоставить им только те права, которые им нужны, а на те самые папки наложить access-listы.
Ещё раз всем спасибо!
Ingvar, ну рут всегда сможет все поменять. На то он и рут. Как вариант - перебратся на sudo и наставить ограничений на команды _________________ ArchLinux + Enlightenment 17 (E17)
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах