Как удивить близких за ужином: проверенные приёмы и неожиданные сочетания блюд 
Горят швайнекройцы! Выпуск 225 
Лесной пляж для двоих 
В Госдуме предложили перенести все данные россиян из WhatsApp* и Telegram ... 
12 июля — всемирный день фотографа. Фотографы 10-й Стрелковой дивизии. 
Цвета радуги, Голуэй 
Салат из баклажанов с яичными блинчиками 
Небольшое лирическое вступление. 
Снять квартиру в Москве и не попасть в секту (история и уроки)
05.05.2016 —
Трафик на интерфейсах роутера не совпадает
SELinux и недоадмин
ru_root — 11.05.2016
Всем привет!У нас появился кейс, под который ( как мне кажется ) прекрасно подходит SELinux как таковой. К сожалению, раскурить его сразу я не смог, поэтому обращаюсь за помощью - куда смотреть, что читать и кому писать.
TL;DR;
Нужно как-то ограничить права админов на сервере, но не всех а только тех, у которых права даны через sudo.
Исходная OS - CentOS 7.
Вводная информация:
Существуют такие сервера, где в производственных целях необходимо давать права рута сторонним людям, будь то разработчики или кастомеры. В том числе такие сервера существуют в продакшн сетях, где одна ошибка будет стоить очень дорого. У нас есть политики, по которым данные админы не должны делать некоторые штуки, такие как: изменение настроек сети, изменение списка пользователей ( кроме сервисов ), изменение правил FW, изменение параметров ядра ну и тому подобное. К сожалению, технически ограничить их никак не получается, поэтому политики они регулярно нарушают, что приводит к разным последствиям.
Задача:
Ограничить администраторам, которые получают свои привелегии через sudo, права на:
- Изменение конфигурации сети
- Изменение пароля пользователя и его authorized_keys
- Изменение конфигурации фаервола
- Изменение некоторых файлов и папок
- Чтение некоторых файлов и папок
- Отключение SELinux ( ну разумеется ) и setenforce 0
Спасибо за внимание!
Сохранено
|
|
</> |
SELinux и недоадмин
Оставить комментарий
Популярные посты:
Предыдущие записи блогера :
Архив записей в блогах:
RADIO TAPOK - Олег Абрамов, 15 февраля 1989(32 года)- создает переводы известных произведений, а также рок-версии российских и советских песен. Отличительной чертой его работ является подстройка под стиль оригинального исполнителя. Это стало одной из причин его популярности. ...
На всякий случай - имена, пароли и явки действующих лиц зашифрованы, физиономиии закрыты чОрными прямоугольничками! Звонит мне намедни в телефон одна старинная моя подруженция, и молвит человеческим голосом: - Слушай, вот вы в эту вашу чтогдекогду играете, а правда, что вы ещё и денег ...
Сегодня я снова выступаю в роли сватьи. Дело в том, что у меня скоро грядет новый джинсовый рюкзак, но НО У меня еще есть джинсовый рюкзак, в том же спектре, и заводить второй в таких условиях, не имея отдельной гардеробной и пятнадцати поводов выгуливать сумочки, как-то не очень ...
С 1 января 2016 года в столице вступают в силу множество нововведений, в том числе теперь в Москве можно будет заправиться только топливом экологического класса Евро-5. На сайте Агентства социальной информации наткнулся на прелюбопытный пост о результатах проекта «Чем дышит Москва?», ...
Сегодня кофе пил с человеком, который в 90-е собирал "профсоюзные сборы" и осуществлял "содействие бизнесу" со стороны спортсменов. В те самые лихие 90-е, которые нам тут поминают. Так вот, рассказал он одну забавную историю. Звонят как-то ему люди, говорят есть дело, по трубе говорить ...
