Есть вопрос?
Зайди на форум

Поиск на сайте: Advanced

Denix - новый дистрибутив Linux. Русификация Ubuntu и установка кодеков

dkws.org.ua
Форум сайта dkws.org.ua
 
Главная    ТемыТемы    АльбомАльбом    РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

Защита журналов от перезаписи/удаления

 
Начать новую тему Ответить на тему    Список форумов dkws.org.ua -> Solaris
 
Автор Сообщение
Ingvar

Завсегдатай


Зарегистрирован: 07.02.2008
Сообщения: 623
Откуда: Москва

СообщениеДобавлено: Вт Фев 15, 2011 12:29 pm    Заголовок сообщения: Защита журналов от перезаписи/удаления
Ответить с цитатой

Всем привет! Встала тут передо мной задача по безопасности, может, кто-нибудь посоветует?
Имеем: n-ное количество *nix серверов, к которым имеют рутовый доступ несколько админов с разными учётками. Задача: необходимо сохранить все права, но запретить доступ к папкам, в частности /var/log и /var/adm (в основном, Solaris и AIX), т.е. чтобы никто не мог затереть журнал, какими бы правами он ни обладал.
Есть соображения? Я вот думаю поиграть с access-listами, просто раньше ничем подобным заниматься не приходилось. Я на правильном пути?
Всем заранее спасибо.
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
chip

Тысячник


Зарегистрирован: 22.04.2010
Сообщения: 2498

СообщениеДобавлено: Вт Фев 15, 2011 2:46 pm    Заголовок сообщения:
Ответить с цитатой

ябы с правами поигрался, например назначить 400, или 440. както так.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
ruslan89

Завсегдатай


Зарегистрирован: 09.01.2010
Сообщения: 799

СообщениеДобавлено: Вт Фев 15, 2011 3:45 pm    Заголовок сообщения:
Ответить с цитатой

Если пользователь обладает root правами, то ничего вы ему не сможете запретить без задействования SElinux (AppArmor и/или иже с ними).
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
den

Старожил


Зарегистрирован: 31.01.2006
Сообщения: 13870
Откуда: Кировоград, Украина

СообщениеДобавлено: Вт Фев 15, 2011 4:08 pm    Заголовок сообщения:
Ответить с цитатой

Ingvar, SELinux или подобные системы управления доступом
Вернуться к началу
Посмотреть профиль Отправить личное сообщение dhsilabs@jabber.ru
den

Старожил


Зарегистрирован: 31.01.2006
Сообщения: 13870
Откуда: Кировоград, Украина

СообщениеДобавлено: Вт Фев 15, 2011 4:10 pm    Заголовок сообщения:
Ответить с цитатой

Хотя стоп. Смотрю у тебя же Solaris, там Solaris Trusted Extensions. Вот интересный материал:

http://www.opennet.ru/opennews/art.shtml?num=10309
Вернуться к началу
Посмотреть профиль Отправить личное сообщение dhsilabs@jabber.ru
Martin

Завсегдатай


Зарегистрирован: 28.07.2009
Сообщения: 623
Откуда: Харьков

СообщениеДобавлено: Вт Фев 15, 2011 7:12 pm    Заголовок сообщения:
Ответить с цитатой

У нас, подобной важности, электронный документооборот, файлы находятся под защитой программных модулей персональных и межсетевых экранов Vipnet, и за них и их защиту отвечает криптограф (не программист) который даже находится в другом городе...
зы. в виндовсе было бы проще осущесствить поставленную задачу. в GUI
сорри за офф
а что, в линуксе можно так разграничить права что и root затереть не сможет?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Ingvar

Завсегдатай


Зарегистрирован: 07.02.2008
Сообщения: 623
Откуда: Москва

СообщениеДобавлено: Ср Фев 16, 2011 6:13 am    Заголовок сообщения:
Ответить с цитатой

Всем огромное спасибо. den, Solaris Trusted Extensions - это, конечно, вариант, но, как я понимаю, его надо покупать (если там не 10-я версия, куда оно интегрировано - это я узнаю позже). И уметь пользоваться. Я на планёрке (три часа осталось...), конечно, предложу (надо хоть какой-нибудь рабочий вариант предложить), но, боюсь, как бы не оказаться в роли того самого мудрого филина, который предложил мышкам стать ежиками, чтобы их другие звери не обижали... Вдруг там 9-я стоит? Может, есть варианты попроще, с привлечением стандартных юниксовых средств? Или ruslan89 прав, и ничего сделать не получится?
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Ingvar

Завсегдатай


Зарегистрирован: 07.02.2008
Сообщения: 623
Откуда: Москва

СообщениеДобавлено: Ср Фев 16, 2011 1:24 pm    Заголовок сообщения:
Ответить с цитатой

В общем, предложил вполне рабочий вариант: отобрать рутовые права, создать именованых пользователей и через sudo предоставить им только те права, которые им нужны, а на те самые папки наложить access-listы.
Ещё раз всем спасибо!
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Anderson

Завсегдатай


Зарегистрирован: 08.07.2006
Сообщения: 642
Откуда: localhost

СообщениеДобавлено: Ср Фев 16, 2011 7:42 pm    Заголовок сообщения:
Ответить с цитатой

Ingvar, лично я склоняюсь к созданию группы типа "logs", затем "chgrp logs <папка с логами>" и затем выставлению прав в 0770 или что-то типа того.
_________________
ArchLinux + Enlightenment 17 (E17)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение anderson.dunai@gmail.com Моб. телефон ICQ Number
олег алексеевич

Тысячник


Зарегистрирован: 18.01.2009
Сообщения: 1365
Откуда: ua Кропивницкий

СообщениеДобавлено: Чт Фев 17, 2011 5:45 am    Заголовок сообщения:
Ответить с цитатой

А что нельзя создать папку,куда будут параллельно записываться данные,но права доступа будут только у владельца/создателя.
_________________
помощь в личку платно.Удалю вирус,шелл с сайта Джумла, Битрикс .
Создам плагин , модуль под заказ для VirtueMart , JoomShopping
Вернуться к началу
Посмотреть профиль Отправить личное сообщение ICQ Number
Ingvar

Завсегдатай


Зарегистрирован: 07.02.2008
Сообщения: 623
Откуда: Москва

СообщениеДобавлено: Чт Фев 17, 2011 6:55 am    Заголовок сообщения:
Ответить с цитатой

Anderson, олег алексеевич, если у пользователя рутовые права, он сможет всё это поменять.
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
ruslan89

Завсегдатай


Зарегистрирован: 09.01.2010
Сообщения: 799

СообщениеДобавлено: Чт Фев 17, 2011 8:38 am    Заголовок сообщения:
Ответить с цитатой

Ingvar писал(а):
В общем, предложил вполне рабочий вариант: отобрать рутовые права, создать именованых пользователей и через sudo предоставить им только те права, которые им нужны, а на те самые папки наложить access-listы.
Ещё раз всем спасибо!


+1
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Anderson

Завсегдатай


Зарегистрирован: 08.07.2006
Сообщения: 642
Откуда: localhost

СообщениеДобавлено: Чт Фев 17, 2011 8:43 am    Заголовок сообщения:
Ответить с цитатой

Ingvar, ну рут всегда сможет все поменять. На то он и рут. Как вариант - перебратся на sudo и наставить ограничений на команды
_________________
ArchLinux + Enlightenment 17 (E17)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение anderson.dunai@gmail.com Моб. телефон ICQ Number
Показать сообщения:   
Начать новую тему Ответить на тему    Список форумов dkws.org.ua -> Solaris Часовой пояс: GMT
Страница 1 из 1
 Главная страница сайта
 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
© Колисниченко Денис