BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 8 ] 
Автор Сообщение
СообщениеДобавлено: Ср 14 мар, 2007 7:33 am 
Не в сети

Зарегистрирован: Ср 07 мар, 2007 7:29 am
Сообщения: 89
ФСБ предъявляет какие то дураццкие требования, для некоторых предприятий, что доступ к серверам должен осуществляться только через подпись в каком-либо журнале с отметкой для чего это нужно и прочее. И на вопрос как такое можно сделать я не смог придумать ничего проще, чем взять какой-либо аппаратный ключ, прикрутить его к модулю авторизации и всё.
Совершенно случайно никто не сталкивался с подобной ситуацией, и как её решали? Или может быть имеются ещё какие-нибудь идеи на тему как ограничить системному администратору доступ к серверу.
требования не сильно сложные.
Сервер обязан находиться в сети во включенном состоянии.
Никто не должен иметь к данным, находящимся на нем, в большей мере, чем это необходимо для работы, по стандарту предприятия. С обычными пользователями всё понятно, а вот как ограничить самого себя, пока внятных решений не вижу :-(


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 15 мар, 2007 10:07 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 20 окт, 2006 2:58 pm
Сообщения: 69
Откуда: Moscow
я так подозреваю, тут разграничение прав по сервисам должно быть. Т.е. для каждого сервиса по админу. По-другому никак.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 15 мар, 2007 1:57 pm 
Не в сети

Зарегистрирован: Ср 07 мар, 2007 7:29 am
Сообщения: 89
Sucht писал(а):
я так подозреваю, тут разграничение прав по сервисам должно быть. Т.е. для каждого сервиса по админу. По-другому никак.

Поглядел сначала в сторону MAC, приблизительно то, что ты предлагаешь, но проблема в том, что root имеет или может получить неограниченный доступ ко всей информации.
Сейчас пока подсказали глянуть в сторону:
http://www.pamusb.org/
http://www.opennet.ru/base/sys/auth_via_pamusb.txt.html
немного не то, но хоть что-то.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 15 мар, 2007 9:37 pm 
Не в сети

Зарегистрирован: Сб 26 июн, 2004 2:21 pm
Сообщения: 3567
Откуда: Рига
в новом gnupg2 включена поддержка смарткард.
немножко не по теме, но может тамошние наработки помогут.
удачи, и это мне тоже интересно, не для фискальных целей впрочем, а для облегчения жизни юзеров (забывают пароли) и админов (без конца те пароли восстанавливают).


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 16 мар, 2007 8:27 am 
Не в сети

Зарегистрирован: Ср 07 мар, 2007 7:29 am
Сообщения: 89
vadblm, пользователи работают во FreeBSD? нонсенс! :-) пожалуй для этих целей вполне подойдёт авторизация с помощью pam_usb


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 09 апр, 2007 11:26 pm 
Не в сети

Зарегистрирован: Вт 02 янв, 2007 8:20 pm
Сообщения: 137
Откуда: SPb
Krueger писал(а):
взять какой-либо аппаратный ключ, прикрутить его к модулю авторизации и всё.


решение верное. только стоило бы это всё завязать на RADIUS.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 10 апр, 2007 11:55 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 20 окт, 2006 2:58 pm
Сообщения: 69
Откуда: Moscow
Krueger писал(а):
Sucht писал(а):
я так подозреваю, тут разграничение прав по сервисам должно быть. Т.е. для каждого сервиса по админу. По-другому никак.

Поглядел сначала в сторону MAC, приблизительно то, что ты предлагаешь, но проблема в том, что root имеет или может получить неограниченный доступ ко всей информации.
Сейчас пока подсказали глянуть в сторону:
http://www.pamusb.org/
http://www.opennet.ru/base/sys/auth_via_pamusb.txt.html
немного не то, но хоть что-то.


а как на счет security level ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 11 апр, 2007 6:42 am 
Не в сети

Зарегистрирован: Ср 07 мар, 2007 7:29 am
Сообщения: 89
Sucht писал(а):

а как на счет security level ?

А что security level может предоставить на этот счёт? насколько я помню доступ к файлам он не ограничивает и не запретит изменить правила mac. К тому же при физическом доступе к серверу его легко можно уменьшить до нуля.
нашёл альтернативу: http://www.swemel.ru предлагают операционку "Циркон", сделанную на базе Trusted Solaris 8, по запросу выслали пдф с описанием.
Позволяет делать авторизацию по аппаратному RSA ключу. Но это не FreeBSD..


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 8 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Alexa [Bot], AMDmi3, Bing [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика