From: Tonguc Yumruk (tongucyumruk@interaktif.gen.tr)
Date: Sat 28 Aug 2004 - 11:45:52 EEST
Yanılmıyorsam modüler bir yapıya sahiptiniz. Örneğin kullanıcıların
modüllere doğrudan erişimini kaldırarak işe başlayabilirsiniz. Modüllere
yapılacak tüm çağrılar bir güvenlik katmanı üzerinden sağlanır. Bu
sayede her modülün kendi içerisinde güvenlik kontrolü yapması ihtiyacı
ortadan kalkar.
Hatta eğer işi paranoyaklık seviyesine sürüklerseniz modüllere yapılacak
her çağrının bir MAC (Message Authentication Code) içermesi ve
modüllerin uygun MAC içermeyen çağrıları çalıştırmaması sağlanabilir. Bu
sayede modüllere doğrudan yapılacak tüm çağrıların önü kesilmiş olur.
Güvenlik verisinin nasıl tutulacağı konusuna gelince. En basitinden
şöyle bir sistem olabilir. Bir tabloda yüklü modüllerin kaydı tutulur.
Her modül için de aynı unix dosya sistemlerindekine benzer sahip, grup
verisi ve izin bitleri tutulur. Veya biraz daha gelişmiş bir yapı
isterseniz modül adı, kullanıcı|grup, izin tipi şeklinde bir yapı da
kullanılabilir. Bu daha esnek bir ACL yapısı sağlayacaktır. Veya
kullanıcı izin seviyeleri bir ağaç yapısı şeklinde de tutulabilir.
Kısacası bu işin sonu yok...
Yalnız bu noktada Donald E. Knuth'un bir sözünü hatırlatmak isterim:
Güvenlik, tıpkı doğruluk gibi, bir sisteme sonradan eklenemez.
Security, like correctness, is not an add-on feature.
Bu nedenle baştan güvenlik tasarımını sıkı tutmanızı tavsiye ederim...
Thu, Aug 26, 2004 at 03:47:50PM +0300 Tarihinde Hüseyin Ergün Demişki :
> Hazirladigimiz GPL projeye coklu kullanici destegi eklemek icin ugrasiyoruz.
> Istedigimiz role-based authorization. Kullanicilar olsun, gruplar olsun,
> belirli modullere veya onun componentlarina erisim izinleri olsun. Ornegin,
> hic,okuma,yazma,silme,admin gibi. Bir kullanici birden fazla gruba ait
> olabilir. Kullaniciya ozel izinler verilebilir.
>
> Dusundugumuz yontemler pek icimize sinmedi. Postnuke'un yapisi guzel, birde
> Jaas var onlari arastiriyoruz.
>
> Tum bu sistemi veritabaninda nasil tutariz, Kodla nasil implement ederiz?
> Daha once benzeri bir uygulama yapmissaniz veya bildiginiz bir proje varsa
> yardim edebilir misiniz?
>
> Tesekkurler.
>
> --
> Hüseyin Ergün huseyin@su.sabanciuniv.edu
> Computer Scientist
> & Engineer Tel:90-216-483 9000 /2320
>
-- Sevgi Saygı GNU/Linux ######################################################################## Bradley's Bromide: If computers get too powerful, we can organize them into a committee -- that will do them in. ######################################################################## Tonguç Yumruk-- Attached file included as plaintext by Ecartis -- -- File: signature.asc -- Desc: Digital signature
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux)
iD8DBQFBMEZA1xWu4MLSyoYRAmXoAJ9gAVvuKs5Ya3lBd6RCvtXiBLoPFgCfdASu VAlQI39xsrOELCmu/JtW02s= =i8cP -----END PGP SIGNATURE-----