Начальство сказало разобраться с RSBAC. Кто-нибудь об этом звере что-нить знает?

www.rsbac.org и разбираться. Никто за вас это не сделает.

То есть я могу, например, сделать, но у меня:
1. нет желания связываться с военными
2. мои расценки их не устроют.

Что такое МСВЦ я знаю. Покореженый Mandrake. ;) Что именно про RSBAC интересует?

oxonian, ты опять в россии ?

Глядя вокруг себя, думаю, что нет ;)
А надо приехать? Я могу отпуск взять ;) offtopic, впрочем... ;)

Я сам вчера пробовал настраивать RSBAC (дома правда, ради эксперимента). Всё прошло почти гладко, но не без глюков. Хотя если делать всё по методу г-на Иевлева, то почти ничего не глючит. Там многое зависит (по моему разумению) от типа ОС, ядра, какие ещё патчи на него накладывал. Ты отладочное ядро делал? Поддержку модулей? Какая версия RSBAC?

Всем снова привет! Дела обстоят так: никаких патчей я не ставил т.к. там все уже установлено. RSBAC встроен в саму систему и при инсталляции ОС я только указал что мне нужно использовать "Систему защиты от несанкционированного доступа", которая в оригинале называлась RSBAC. Ядро версии 2.2.16-1uvs Версия RSBAC - 1.0.9. Вначале lilo позволяет войти в нормальный режим, либо с использованием RSBAC. Да, в принципе, эта штука работает, только как-то не так как я хочу и описано в документации.

Там как я понял есть несколько принципов защиты, реализованных в виде модулей: MAC - мандатная модель доступа RC - ролевая модель ACL - списки прав

Так вот - с помощью ACL я еще кое как настроил защиту. Т.е., например, смог защитить файл на чтение от всех, в том числе и от root'а, при этом пользователь test его читать все же может. Вроде как круто. Но все равно в этой модели не ясно что обозначают права, которые настраиваются у объекта. Кроме некоторых конечно: CHDIR, DELETE, READ и несколько других, но остальные вообще не понимаю что означают, например: TRUNCATE, MODIFY_SYSTEM_DATA, SWITCH_MODULE и т.д. и т.п. Я не понимаю как можно, например, установить права на READ и снять права на READ_OPEN - это что можно файл читать но открывать его на чтение нельзя что-ли???

MAC - Вроде бы самая легкая модель для настройки, но почему-то в отличие от двух других моделей она вообще не работает. Я как понимаю что для пользователя надо установить уровень его допуска и категории к которым он имеет доступ, а для файла уровень допуска, такой что пользователь с таким же уровнем или выше сможет прочитать этот файл, а так же указать к какой категории принадлежит этот файл. Т.е. Если пользователь может читать файлы данной категории и имее уровень допуска такой же как у файлв, или выше, то он сможет прочитать этот файл, иначе нет. Это я так понял принцип работы данной модели защиты. Так вот я установил для пользователя test уровень допуска "сов. секретно" и включил ему все категории. Т.е. вроде как сделал чтобы он мог читать все что угодно. Для файла же я установил уровень допуска "конфеденциально" и категория "0" (они там не по названию, а по номеру. Всего 64 категории). При этом я этот файл прочитать не могу. Если же я ставлю для файла уровень "неклассифицированно", то я могу этот файл прочитать. Т.е. Если я ставлю уровень отличный от "неклассифицированно", то он мне закрывает доступ к файлу. Но вроде как в описании написано, что там должно быть несколько уровней доступа, а не два (есть доступ, нет доступа) (это сарказм :)

С RC вроде тоже как-то на половину разобрался. Роли и типы назначить смог, но как-то там станно работает наследование прав (ну там с родительскими правами от каталогов). Надо еще немного поковыряться. Потом если что еще спрошу. ;-)

Так вот. Если кто сможети объясните, дураку, как это все должно работать.

И еще. (P.S.) Мне бы в идеалке нужно написать классы для работы с RSBAC и приложение, визуальное такое, графическое, что бы тупой прапор мог с ней справиться. Для управления RSBAC есть такая утилитка rsbac-admin Но она слижком уж наворочена, попроще бы надо написать (мне). Так вот. Я что-то не нашел какаго-либо примерчика как вызвать хоть одну какую-нибудь функцию. API вроде как есть. Хидеры лежат в папочке /usr/scr/linux-2.2.16/include/rsbac Примеры, конечно, какие-то есть, но ни один из них не компилится, т.к. make-файл хочет какой-то файли Rulers.make котороко в в архиве rsbac, который я скачал с их сайта, нигде нет. Попытался скомпилить сам, но компилятор там орет, что знать не знает что это за функции, хотя они объявлены в хидерах. Я как понимаю - эти функции встроились в ядро, но как же их вызвать? Можно конечно вызывать внешние приложения, которые вызывет "sec_menu", но мне кажется это какой-то изврат. Описание этих приложений, конечно, есть - там куча разных флагов и т.п. Но как мне самому написать анналогичные приложения? Где найти полное описание API работы с RSBAC и хотя бы несколько примерчиков?

Вот в общем-то и все. Если Вы дочитали все это до конца, то я думаю что у Вас хватит терпения написать мне хотя бы несколько строчек. Заранее всем БООЛЬШОЕ спасибо. Люди спасите бедного программиста :-)