forum.opennet.ru

Составление сообщения

Исходное сообщение

"Линус Торвальдс раскритиковал ограничительные меры по усилен..."
Отправлено Тузя, 22-Ноя-17 11:51

> `/etc/sysconfig` уже не существует
> SystemD осуществляет контроль параметров.
Это дистроспицифично. В одном есть в другом нет. sysconfig и default - странные каталоги, которые содержат якобы конфигурационные файлы, а на самом деле bash-скрипты где объявляются переменные в которых пишут опции запуска. Это заинклюдит в себя инитскрипт или юнит systemd, объявив скрипт окружения. То есть да, можно зайти в юнит и поправить, но ведь у них своя иерархия и автообновление из репозитория, поэтому костылики присутствуют и в CentOS и в Debian.
>> 4. Начнёт контролировать по ACL доступ к демонам и их сокетам, конфигурациям,
>> самому себе.
>> 5. Обзаведётся шиной данных для обмена информацией с модулями ядра и замкнет
>> на себе IPC со своими ACL.
>А вот это уже лишнее.
А почему? п.4 уже работает, потому что SELinux работает и понимает вызовы systemd. Там осталось только дать systemd возможность описать набор правил и разрешений для демона. Дашь возможность системному менеджеру управлять заранее заготовленным подмножеством параметров связанных с демонами и с ним самим, и появятся "Локальные политики безопасности". Просто сейчас эти политики безопасности работают отдельно от systemd чуть-чуть сбоку.
Что касается шины, тут аналогично, kdbus тянули-тянули в ядро но не дотянули. Почему не дотянули? ЕМНИП, Линус сказал, что это не был очень хороший патч, причём в такой манере, что вротфильтр опеннета это не пропустит. А что нужно делать в таком случае? Выпрямлять архитектуру и руки. С другой стороны наличие шины IPC на стороне ядра позволит... что сделать? Много чего, почитайте архитектуру так называемых "гибридных" ядер.
Видимо, это было слишком тонко с моей стороны.., просто перечисленные ранее пункты "развития" превращают Linux в своеобразное BSD-окружение, сделанное с оглядкой на WinNT, и многое уже сделано, забавно да? Нейтральность и отсутствие качественных суждений в этом вопросе приветствуется.
> про remote-service забудьте
Вы хоть понимаете зачем это? Существует такая вещь как децентрализированная авторизация. Это когда правами пользователей управляет внешняя сущность, которая обычно не что иное как служба каталогов с Kerberos KDC.
Заранее имея разграничение на локальные и сетевые сервисы можно автоматически создать учётную запись, которая содержит все необходимые разрешения на Kerberos SPN, что при правильной конфигурации Kerberos позволит олицетворить других пользователей Kerberos на этом сетевом сервисе через делегирование в службе каталогов. Но да, можно руками всё делать или скриптик себе написать.

Исходное сообщение
"Линус Торвальдс раскритиковал ограничительные меры по усилен..." Отправлено Тузя, 22-Ноя-17 11:51
> `/etc/sysconfig` уже не существует > SystemD осуществляет контроль параметров. Это дистроспицифично. В одном есть в другом нет. sysconfig и default - странные каталоги, которые содержат якобы конфигурационные файлы, а на самом деле bash-скрипты где объявляются переменные в которых пишут опции запуска. Это заинклюдит в себя инитскрипт или юнит systemd, объявив скрипт окружения. То есть да, можно зайти в юнит и поправить, но ведь у них своя иерархия и автообновление из репозитория, поэтому костылики присутствуют и в CentOS и в Debian. >> 4. Начнёт контролировать по ACL доступ к демонам и их сокетам, конфигурациям, >> самому себе. >> 5. Обзаведётся шиной данных для обмена информацией с модулями ядра и замкнет >> на себе IPC со своими ACL. >А вот это уже лишнее. А почему? п.4 уже работает, потому что SELinux работает и понимает вызовы systemd. Там осталось только дать systemd возможность описать набор правил и разрешений для демона. Дашь возможность системному менеджеру управлять заранее заготовленным подмножеством параметров связанных с демонами и с ним самим, и появятся "Локальные политики безопасности". Просто сейчас эти политики безопасности работают отдельно от systemd чуть-чуть сбоку. Что касается шины, тут аналогично, kdbus тянули-тянули в ядро но не дотянули. Почему не дотянули? ЕМНИП, Линус сказал, что это не был очень хороший патч, причём в такой манере, что вротфильтр опеннета это не пропустит. А что нужно делать в таком случае? Выпрямлять архитектуру и руки. С другой стороны наличие шины IPC на стороне ядра позволит... что сделать? Много чего, почитайте архитектуру так называемых "гибридных" ядер. Видимо, это было слишком тонко с моей стороны.., просто перечисленные ранее пункты "развития" превращают Linux в своеобразное BSD-окружение, сделанное с оглядкой на WinNT, и многое уже сделано, забавно да? Нейтральность и отсутствие качественных суждений в этом вопросе приветствуется. > про remote-service забудьте Вы хоть понимаете зачем это? Существует такая вещь как децентрализированная авторизация. Это когда правами пользователей управляет внешняя сущность, которая обычно не что иное как служба каталогов с Kerberos KDC. Заранее имея разграничение на локальные и сетевые сервисы можно автоматически создать учётную запись, которая содержит все необходимые разрешения на Kerberos SPN, что при правильной конфигурации Kerberos позволит олицетворить других пользователей Kerberos на этом сетевом сервисе через делегирование в службе каталогов. Но да, можно руками всё делать или скриптик себе написать.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> `/etc/sysconfig` уже не существует 
>> SystemD осуществляет контроль параметров.

> Это дистроспицифично. В одном есть в другом нет. sysconfig и default - 
> странные каталоги, которые содержат якобы конфигурационные файлы, а на самом деле 
> bash-скрипты где объявляются переменные в которых пишут опции запуска. Это заинклюдит 
> в себя инитскрипт или юнит systemd, объявив скрипт окружения. То есть 
> да, можно зайти в юнит и поправить, но ведь у них 
> своя иерархия и автообновление из репозитория, поэтому костылики присутствуют и в 
> CentOS и в Debian.

>>> 4. Начнёт контролировать по ACL доступ к демонам и их сокетам, конфигурациям, 
>>> самому себе.
>>> 5. Обзаведётся шиной данных для обмена информацией с модулями ядра и замкнет 
>>> на себе IPC со своими ACL.
>>А вот это уже лишнее.

> А почему? п.4 уже работает, потому что SELinux работает и понимает вызовы 
> systemd. Там осталось только дать systemd возможность описать набор правил и 
> разрешений для демона. Дашь возможность системному менеджеру управлять заранее заготовленным 
> подмножеством параметров связанных с демонами и с ним самим, и появятся 
> "Локальные политики безопасности". Просто сейчас эти политики безопасности работают отдельно 
> от systemd чуть-чуть сбоку.

> Что касается шины, тут аналогично, kdbus тянули-тянули в ядро но не дотянули. 
> Почему не дотянули? ЕМНИП, Линус сказал, что это не был очень 
> хороший патч, причём в такой манере, что вротфильтр опеннета это не 
> пропустит. А что нужно делать в таком случае? Выпрямлять архитектуру и 
> руки. С другой стороны наличие шины IPC на стороне ядра позволит... 
> что сделать? Много чего, почитайте архитектуру так называемых "гибридных" ядер.

> Видимо, это было слишком тонко с моей стороны.., просто перечисленные ранее пункты 
> "развития" превращают Linux в своеобразное BSD-окружение, сделанное с оглядкой на WinNT, 
> и многое уже сделано, забавно да? Нейтральность и отсутствие качественных суждений 
> в этом вопросе приветствуется.

>> про remote-service забудьте

> Вы хоть понимаете зачем это? Существует такая вещь как децентрализированная авторизация. 
> Это когда правами пользователей управляет внешняя сущность, которая обычно не что 
> иное как служба каталогов с Kerberos KDC.
> Заранее имея разграничение на локальные и сетевые сервисы можно автоматически создать учётную 
> запись, которая содержит все необходимые разрешения на Kerberos SPN, что при 
> правильной конфигурации Kerberos позволит олицетворить других пользователей Kerberos 
> на этом сетевом сервисе через делегирование в службе каталогов. Но да, 
> можно руками всё делать или скриптик себе написать.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру