Исправление EvilFox, (текущая версия) :
можно ли как-то прикрутить nt-like права пользователя к линуксу, и что для этого нужно. Пока что не представляю, как это сделать.
Увы, пока наблюдаю только вагон костылей в виде SELinux, RSBAC, Grsecurity (gradm), AppArmor, TOMOYO, bindfs и они продолжают плодиться. Может из этого списка что-нибудь подойдёт. Не знаю придут ли они когда-нибудь к единому решению.
Часть из перечисленного даёт больше гибкости и возможности (под винду от сторонних компаний такое тоже есть, если что), но какой ценой — тормоза (мандантный контроль быстрым не бывает), как-то приделано сбоку и довольно стрёмно в администрировании, это не говоря о плохой переносимости (я не сильно ковырялся, так что тут где-нибудь могу ошибаться) — отдельные БД/файлы, а в случае RSBAC, TOMOYO 1 ещё и ядро патчить самому. SELinux тоже например не везде доступен, если говорить о VPS.
Короче явный нестандарт и костыли-костылики. Я кстати удивляюсь почему даже user_xattr по умолчанию выключены, уже намёк что даже такой минимум как-то через жопу сделан.
Вообще на заметку. Почему так часто патчат под свои фичи ядро Linux?
Почему куча антивирей и отдельных мандатных решений и так сносно работают с ядром винды, а тут и для SELinux нужна поддержка и для RBAC и для AppArmor с его Yama и для TOMOYO и т. д. Как-то это всё не очень похожее на хороший дизайн ядра.
Есть только некое AKARI (ответвление TOMOYO) выполненное в виде модуля ядра, но он не всё может что может TOMOYO.
Как я понял есть проблемы в механизме LSM (Linux Security Module).
Исходная версия EvilFox, :
можно ли как-то прикрутить nt-like права пользователя к линуксу, и что для этого нужно. Пока что не представляю, как это сделать.
Увы, пока наблюдаю только вагон костылей в виде SELinux, RSBAC, Grsecurity (gradm), AppArmor, TOMOYO, bindfs и они продолжают плодиться. Может из этого списка что-нибудь подойдёт. Не знаю придут ли они когда-нибудь к единому решению.
Часть из перечисленного даёт больше гибкости и возможности (под винду от сторонних компаний такое тоже есть, если что), но какой ценой — тормоза (мандантный контроль быстрым не бывает), как-то приделано сбоку и довольно стрёмно в администрировании, это не говоря о плохой переносимости (я не сильно ковырялся, так что тут где-нибудь могу ошибаться) — отдельные БД/файлы, а в случае RSBAC ещё и ядро патчить самому. SELinux тоже например не везде доступен, если говорить о VPS.
Короче явный нестандарт и костыли-костылики. Я кстати удивляюсь почему даже user_xattr по умолчанию выключены, уже намёк что даже такой минимум как-то через жопу сделан.
Вообще на заметку. Почему так часто патчат под свои фичи ядро Linux?
Почему куча антивирей и отдельных мандатных решений и так сносно работают с ядром винды, а тут и для SELinux нужна поддержка и для RBAC и для AppArmor с его Yama и для TOMOYO и т. д. Как-то это всё не очень похожее на хороший дизайн ядра.
Есть только некое AKARI (ответвление TOMOYO) выполненное в виде модуля ядра, но он не всё может что может TOMOYO.
Как я понял есть проблемы в механизме LSM (Linux Security Module).