Как комплексное SEO продвижение сайтов помогает достичь вершин в поисковой выдаче 
Челябинские педагоги настолько суровы, что ... 
Вопросы 
Хорватия, юбилейные монеты. Куна. 
Как так можно то, а? :-))) 
Вот щас как подниму голову, и сразу выиграю поединок)! 
Учения в полицейской академии 
Каких не берут в космонавты, или Самая русская профессия СССР 
Просыпается Питер
05.05.2016 —
Трафик на интерфейсах роутера не совпадает
SELinux и недоадмин
ru_root — 11.05.2016
Всем привет!У нас появился кейс, под который ( как мне кажется ) прекрасно подходит SELinux как таковой. К сожалению, раскурить его сразу я не смог, поэтому обращаюсь за помощью - куда смотреть, что читать и кому писать.
TL;DR;
Нужно как-то ограничить права админов на сервере, но не всех а только тех, у которых права даны через sudo.
Исходная OS - CentOS 7.
Вводная информация:
Существуют такие сервера, где в производственных целях необходимо давать права рута сторонним людям, будь то разработчики или кастомеры. В том числе такие сервера существуют в продакшн сетях, где одна ошибка будет стоить очень дорого. У нас есть политики, по которым данные админы не должны делать некоторые штуки, такие как: изменение настроек сети, изменение списка пользователей ( кроме сервисов ), изменение правил FW, изменение параметров ядра ну и тому подобное. К сожалению, технически ограничить их никак не получается, поэтому политики они регулярно нарушают, что приводит к разным последствиям.
Задача:
Ограничить администраторам, которые получают свои привелегии через sudo, права на:
- Изменение конфигурации сети
- Изменение пароля пользователя и его authorized_keys
- Изменение конфигурации фаервола
- Изменение некоторых файлов и папок
- Чтение некоторых файлов и папок
- Отключение SELinux ( ну разумеется ) и setenforce 0
Спасибо за внимание!
Сохранено
|
|
</> |
SELinux и недоадмин
Оставить комментарий
Популярные посты:
Предыдущие записи блогера :
Архив записей в блогах:
У вас что-нибудь крали на отдыхе? И смех и слезы, сейчас расскажу вам историю. Случилось это на курорте в Албании, в Ксамиле. Там мы на три дня остановились в небольшом отеле. Хотя как в отеле? Это хозяева его позиционировали, как отель. По факту же это были обычные комнаты-апартаменты, ...
Компания Евраз Медикал - эксклюзивный дистрибьютор медицинской аппаратуры на территории Российской Федерации и СНГ. Она сотрудничает с ведущими дистрибьюторами. Это:
немецкая компания Fiagon AG – лидер в производстве нейрохирургического оборудования, в т.ч. уникальной ...
Со времени аварии на Чернобыльской АЭС прошло тридцать лет. Уровень радиационного загрязнения в некоторых регионах вокруг станции уже близок к норме. Но район площадью с Люксембург будет оставаться непригодным для жизни людей еще сотни лет. Сейчас Украина ищет возможность использовать ...
Питер Грей, разрабатывающий эту теорию, конечно же немного преувеличивает:)) Однако, я был очень сильно удивлен, когда узнал о том, что "игровой центр" вмонтирован в одну из самых древних структур нашего мозга (в рептилианский мозг). ( Read more ... ...
- Для всех друзей, недругов, и просто любопытствующих: только что мы получили результаты генетической экспертизы (ДНК), проведённой в Федеральном учреждении медэкспертизы. Мы не любим быть голословными и многословными, мы ждали фактов. Результат показал, что ребёнок наш.
И мы очень ...
