RBAC nebo sudo

sudoers

RBAC nebo sudo
« kdy: 17. 12. 2016, 20:28:04 »
Kdyby chtel neco jako PHP admin, MySQL admin, Apache admin nebo Zabbix admin je to vubec rozumne a prakticke delat pomoci SELinux/RBAC nebo jinej RBAC implementace?
Potrebuji, aby ruzni lide spravovali jenom vymezene aplikace (to jest editovani konfiguraku a aplikacnych dat a restart demonu) a nemeli pritom root pristup.


Tuxik

  • *****
  • 1 473
    • Zobrazit profil
    • E-mail
Re:RBAC nebo sudo
« Odpověď #1 kdy: 17. 12. 2016, 20:45:51 »
Jestli chceš jenom restart, nastav sudo na konkrétní příkazy. Jestli chceš kompletní správu, vykašli se na *admin, naděláš si problémy. Pokud řešíš malé prostředí, smiř se s tím, že ti kdokoliv rozdrbe cokoliv, pokud řešíš něco většího, nemá víc služeb na jednom serveru co dělat a o to je to jednodušší. Jinak SELinux je rozhodně dobrá věc, bohužel to většinou končí jeho vypnutím. Nastuduj di, jak to funguje, udělej si vlastní šablony a budeš king.

Tomas2

  • ****
  • 310
    • Zobrazit profil
    • E-mail
Re:RBAC nebo sudo
« Odpověď #2 kdy: 17. 12. 2016, 21:51:25 »
zbytečná práce, buď si na tyhle servisní věci udělel nějaký admin panel nebo služby odděl, jak píše tuxík. V životě nedokážeš dobře oddělit na úrovni jednoho serveru služby, aby ti tam někdo z těch lidí neudělal neplechu.

Youda

Re:RBAC nebo sudo
« Odpověď #3 kdy: 18. 12. 2016, 08:26:12 »
Jestli chceš jenom restart, nastav sudo na konkrétní příkazy. Jestli chceš kompletní správu, vykašli se na *admin, naděláš si problémy. Pokud řešíš malé prostředí, smiř se s tím, že ti kdokoliv rozdrbe cokoliv, pokud řešíš něco většího, nemá víc služeb na jednom serveru co dělat a o to je to jednodušší. Jinak SELinux je rozhodně dobrá věc, bohužel to většinou končí jeho vypnutím. Nastuduj di, jak to funguje, udělej si vlastní šablony a budeš king.

Selinux je naprosto debilni technologie, kterou jde se skripenim zubu rozjet pro staticke servicy typu Apache Httpd. V pripade dynamickych frameworku typu Zabbix, kde user pridava alertscripty a userparam scripty a aPHP stranky, to nebude fungovat nikdy.

Tazateli doporucuju Docker a dilcim adminum dat spravu vybranym containerum, uvnitr containeru si admin muze delat co chce

A hlavne muze zmeny nejprve poradne otestovat na dev prostredi a pak finalne deployovat jednim container pullem.
Pise se rok 2016

ldj

Re:RBAC nebo sudo
« Odpověď #4 kdy: 18. 12. 2016, 20:08:27 »
Tazateli doporucuju Docker a dilcim adminum dat spravu vybranym containerum, uvnitr containeru si admin muze delat co chce

A hlavne muze zmeny nejprve poradne otestovat na dev prostredi a pak finalne deployovat jednim container pullem.
Pise se rok 2016
A jak Docker resi tazateluv problem? Docker interne neresi security a pokud date uzivateli pristup na docker socket, davate mu UID 0 na vas stroj, navic v auditu nenaleznete ani radek - moc hezky napad. Docker urcite smysl ma, ale trosku z jinych duvodu nez je nahrada RBAC na serveru.


wily

Re:RBAC nebo sudo
« Odpověď #5 kdy: 18. 12. 2016, 20:52:31 »
Místo dockeru raději LXC, to má alespoj pořešený to, že se nedá z kontajneru dostat na root hosta  ;D
Docker je taková hračka pro děti.

Youda

Re:RBAC nebo sudo
« Odpověď #6 kdy: 18. 12. 2016, 21:00:01 »
Tazateli doporucuju Docker a dilcim adminum dat spravu vybranym containerum, uvnitr containeru si admin muze delat co chce

A hlavne muze zmeny nejprve poradne otestovat na dev prostredi a pak finalne deployovat jednim container pullem.
Pise se rok 2016
A jak Docker resi tazateluv problem? Docker interne neresi security a pokud date uzivateli pristup na docker socket, davate mu UID 0 na vas stroj, navic v auditu nenaleznete ani radek - moc hezky napad. Docker urcite smysl ma, ale trosku z jinych duvodu nez je nahrada RBAC na serveru.
Predpokladam zadani, kde se resi, aby admin Zabbixu nechtic nezkurvil Baculu resenou jinym adminem.
Pokud je admin Zabbixu navic zaskodnik, no tak bude jenom dodavatel zabbix containeru, vlastni deployment provede osoba duveryhodna

Lol Phirae

Re:RBAC nebo sudo
« Odpověď #7 kdy: 18. 12. 2016, 21:07:12 »
Doporučovat na zabezpečení něčeho Docker je vopravdu youdovina.  ::)

Youda

Re:RBAC nebo sudo
« Odpověď #8 kdy: 18. 12. 2016, 21:33:01 »
Doporučovat na zabezpečení něčeho Docker je vopravdu youdovina.  ::)

Tak pro pomalejsi mezi nami vysvetlim podrobneji.
Docker neresi bezpecnost produkcniho prostredi, prislusny buzzword je "DevOps".
Vlastnik aplikace dostane via service desk zmenovy pozadavek, ten implementuje v dev prostredi. Po otestovani a akceptaci je novy release sakumprask nasazen do produkce (treba jako docker  container), kde spavce Zabbixu nema zadna prava. Tomuto divnemu procesu se rika change management a je soucasti ITILu.
Ale chapu, kam s tim na mistni studentiky, zabbix spravce si zkratka jprasi co chce a kdy chce. Min to zdrzuje

citanus006

Re:RBAC nebo sudo
« Odpověď #9 kdy: 18. 12. 2016, 21:38:08 »
Po roce od nasazeni jedu selinux spolecne s redhat idm(freeipa), mam vic nez 6 skupin admin roli a nespocet normalnich user roli a no problem. Ze zacatku je s tim tedy radnyho srani, to muzu potvrdit. Porad nekdo otravuje ze nemuze kde co, ale da se to resit.

Jeste me napada ceskej produkt czechpam, ale jestli to zije to nevim

Tuxik

  • *****
  • 1 473
    • Zobrazit profil
    • E-mail
Re:RBAC nebo sudo
« Odpověď #10 kdy: 18. 12. 2016, 22:27:38 »
Jestli chceš jenom restart, nastav sudo na konkrétní příkazy. Jestli chceš kompletní správu, vykašli se na *admin, naděláš si problémy. Pokud řešíš malé prostředí, smiř se s tím, že ti kdokoliv rozdrbe cokoliv, pokud řešíš něco většího, nemá víc služeb na jednom serveru co dělat a o to je to jednodušší. Jinak SELinux je rozhodně dobrá věc, bohužel to většinou končí jeho vypnutím. Nastuduj di, jak to funguje, udělej si vlastní šablony a budeš king.

Selinux je naprosto debilni technologie, kterou jde se skripenim zubu rozjet pro staticke servicy typu Apache Httpd. V pripade dynamickych frameworku typu Zabbix, kde user pridava alertscripty a userparam scripty a aPHP stranky, to nebude fungovat nikdy.

Tazateli doporucuju Docker a dilcim adminum dat spravu vybranym containerum, uvnitr containeru si admin muze delat co chce

A hlavne muze zmeny nejprve poradne otestovat na dev prostredi a pak finalne deployovat jednim container pullem.
Pise se rok 2016
Ty vole.... teď jsem jinde slíbil, že se nebudu hádat s javoušem a je tu další tupec. SELinux je technologie, která se snaží řešit bezpečnost mezi službami a jestli nevíš, o co jde, tak o tom aspoň nepiš kraviny. Že seš na to moc blbej neznamená, že je ta technologie špatná. Znamená to pouze to, že seš na to moc blbej. A jdeš rovnou k javoušovi, už na tvoje kraviny nereaguju.

Lol Phirae

Re:RBAC nebo sudo
« Odpověď #11 kdy: 18. 12. 2016, 23:16:24 »
Tak pro pomalejsi mezi nami vysvetlim podrobneji.

Pro pomalejší zopakuju požadavek:

Citace
Potrebuji, aby ruzni lide spravovali jenom vymezene aplikace (to jest editovani konfiguraku a aplikacnych dat a restart demonu) a nemeli pritom root pristup.

ITIL a change management a další pseudomanagorské kokotiny si sakumprásk zasuň tam, kam slunce nesvítí.

Youda

Re:RBAC nebo sudo
« Odpověď #12 kdy: 19. 12. 2016, 00:08:13 »
Tak pro pomalejsi mezi nami vysvetlim podrobneji.

Pro pomalejší zopakuju požadavek:

Citace
Potrebuji, aby ruzni lide spravovali jenom vymezene aplikace (to jest editovani konfiguraku a aplikacnych dat a restart demonu) a nemeli pritom root pristup.

ITIL a change management a další pseudomanagorské kokotiny si sakumprásk zasuň tam, kam slunce nesvítí.

Heh, mozna nekdy casem prijdes na fakt, ze to, co zakaznik pozaduje a to co opravdu potrebuje, jsou obcas krapet disjunktni mnoziny...
A ze je dulezite prijit na racio PROC to pozaduje a nadhodit pak reseni treba uplne mimo limity puvodniho zadani. Ostatne hned prvni reakce v tomto threadu doporucila services rozdelit, ja s tim souhlasim. A protoze na Linuxu nejsou solaris zones, navrhl jsem docker.

Apropos, IBM ma na requirement managent v ramci Rational Suite nastroj Doors. To jenom, kdybys mel zase chute neco zasouvat nekam, tak at vis co.

Lol Phirae

Re:RBAC nebo sudo
« Odpověď #13 kdy: 19. 12. 2016, 00:25:09 »
Apropos, IBM ma na requirement managent v ramci Rational Suite nastroj Doors.

Slunce žbluňce...

podlesh

Re:RBAC nebo sudo
« Odpověď #14 kdy: 19. 12. 2016, 08:55:05 »
...
Ty vole.... teď jsem jinde slíbil, že se nebudu hádat s javoušem a je tu další tupec. SELinux je technologie, která se snaží řešit bezpečnost mezi službami a jestli nevíš, o co jde, tak o tom aspoň nepiš kraviny. Že seš na to moc blbej neznamená, že je ta technologie špatná. Znamená to pouze to, že seš na to moc blbej. A jdeš rovnou k javoušovi, už na tvoje kraviny nereaguju.
To je trochu přehnané. Javaman je čistokrevný troll, který se vás snažil vyprovokovat (a je to vidět na první pohled z nicku).

Youda napsal odpověď k věci a navíc takovou, která skutečně řeší tazatelův problém. Sice to neumí vysvětlit a má kolem toho blbé kecy, ale to je zde na rootu dnes bohužel spíše standard :-(

Chápu že to řešení má nevýhody, ale já osobně bych rád slyšel konkrétní problémy použití dockeru pro tento účel (samozřejmě s tím, že ten kdo dělá image nemá přímo přístup na server - kontejnery dělá vyrábí někdo jiný, důvěryhodný).