[Gelistirici] COMAR ve yetkiler
Faik Uygur
faik at pardus.org.tr
25 Mar 2007 Paz 19:29:54 EEST
On Sunday 25 March 2007 19:15:49 Gürer Özen wrote:
> On Sunday 25 March 2007 18:33:28 Faik Uygur wrote:
> Güvenlik tarafından bakınca, kurumsal müşteri adaylarımızın bizden
> istedikleri, ve mesela amerikanın DoD orange book vb gibi örneklerden
> gördüğüm askeri kurumların konuyla ilgili temel istekleri, mesela network'ü
> açıp kapayabilen, ama kullanıcıların dosyalarını okuyamayan kullanıcılar
> oluşturabilmek üzerine kurulu. Yani yetkilerin ince olarak dağıtılabilmesi
> gerekiyor.
Doğru. Bu noktayı da kaçırıyor arkadaşlar. wheel grubuna takılmış durumdalar.
wheel grubu admin grubu ve admin yetkileri gibi algılıyorlar. Halbuki COMAR
ile görev tabanlı yetkilendirme yapabilmek mümkün.
> Çomarı tasarlarken temel gereklerden biri bunu sağlayabilmekti. Çomarı bir
> nevi sudo-on-steroids gibi düşünebilirsiniz. Çomar kendisinden istenen
> işleri, istekte bulunan kişiye o iş için yetki verilmişse yapıyor.
Ya da sudo done right. :)
> Root parolası ile işlem yapmaktaki birinci yanlış, her yetki gerektiren
> işlem (mesela internete bağlanmak bile root yetkisi istiyor) yapmak
> isteyene root parolası dağıtırsan hiç bi güvenlik önleminin anlamı kalmaz.
Doğru.
> Çomar yetki değerlendirmeyi karşısındaki kişiye göre yapıyor.
> Bunu /etc/comar/security-policy.xml içinden istediğiniz gibi ayarlamak
> mümkün. Kişi değiştirmekle ilgili her türlü destek de masaüstü ortamı
> içinde var zaten.
>
> Özetlersek:
> 1. Root olarak çalışan şeylerin minimum olmasını istiyoruz.
> 2. Mekanizmalar uzun uzun düşünülerek tasarlandı, çünkü girmek istediğimiz
> corporate desktop pazarının ihtiyaçlarını klasik Linux çözümleri
> karşılamıyor.
Evet bir yerlerde eksik var ya da günümüzde artık şu anki çözümler yeterli
gelmiyor diyebiliriz. COMAR bu eksiği kapatıyor. Bir şeyleri aşmak gerekiyor
artık. Felsefeymiş, filozofiymiş boş iş bunlar. İhtiyaçlarını karşılıyor mu
karşılamıyor mu bakacaksın, zorlamayacaksın, karşılamıyorsa kabul edeceksin.
Pardus bu alanda bunu yapmaya çalışıyor.
> Binlerce parola/onay vb sorusu sormakla güvenlik gelmiyor, sadece günlük
> hayat zorlaşıyor.
Kesinlikle.
> Vakit bulunca daha detaylı yazacağım güvenlik modelimizi, uygulamada
> aksayan taraflar var, mesela programlar yetki olmadığı durumları düzgün
> raporlamıyor vb, ama gerekler analizi ve mimari kısmında bir eksiklik yada
> yanlışlık göremiyorum.
Çok güzel yazmışsın. Eline sağlık. Dediğin gibi Pardus Security Model gibi
bir yazı yazsan, bayağı ses getirecektir.
Seviyorum, aşığım... :)
- Faik
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi