Freitag Feb 08, 2008
Freitag Feb 08, 2008
Es gibt in Solaris eine ganze Reihe von Features, die teilweise schon Jahre verfügbar sind, aber aus irgendeinem Grund nur sehr selten genutzt werden. Ich habe daher mal eine Reihe von Artikel geschrieben, die diese Features beleuchten. Bisher behandelt wurden die Themen:
Diese Reihe wird in loser Folge erweitert.
RBAC ist eine Katastrophe, neben Java ist sie eine der grossten Schanden der Firma Sun.
BART ist tatsaechlich selten bekannt und benutzt, aber wirklich ein nutzvolles Werkzeug.
IPSec, dieser Post wird auf einem Solaris Laptop geschrieben, der ueber einem Solaris IPSec Tunnel zum FireWall verbunden ist.
Gesendet von UX-admin am Februar 08, 2008 at 11:57 PM CET #
Dann erklaeren Sie doch mal, warum RBAC eine Katastrophe ist ? ;)
Gesendet von Joerg M. am Februar 09, 2008 at 08:17 AM CET #
Ganz einfach, weil die Role-basierende Zugriff Kontrolle ueber-ingineured, ueber-kompliziert, und non-standard ist.
Und dennoch, RBAC ist nur auf Solaris zu finden. Realitaet ist, viele "Shops" haben nicht nur Solaris.
Was soll ich mit einer ueberkomplizierten, non-standard und non-portabel Loesung auf HP-UX oder AIX anfangen?
Sun haette sudo nehmen sollen. Im Gegenteil haben die Sun engineers das "NIH" Syndrom gehabt. Das ist schlimm, sehr schlimm sogar.
Gesendet von UX-admin am Februar 09, 2008 at 09:55 AM CET #
1) Interessanterweise implementieren die IBM-Ingenieure in AIX 6 gerade ein dem Solaris RBAC recht ähnliches Konzept.
2) sudo ist für kleinere installationen sicherlich ausreichend, wenn es nur darum geht einige Befehle für non-root user freizugeben. Für groessere Installationen mit höherer Granularität ist RBAC das wesentlich bessere Konzept. Sudo beherrscht zum Beispiel nicht das Konzept der Authorisations.
3) Der technische Fortschritt geht weiter. Nur weil ein Konzept auf allen Systemen verfügbar ist, ist es deswegen nicht unbedingt gut. Das waere das Einigen auf dem kleinsten gemeinsamen Nenner. Und so bin ich dann auch wieder bei Punkt 1) ;)
Gesendet von Joerg M. am Februar 09, 2008 at 10:21 AM CET #
Sehr gut.
Wenn wir soweit sind, dass RBAC auf allen Plattformen wie sudo verfuegbar ist, koennen wir uns zurueck zum Tisch kommen, und bei dem einen Dialog wieder anfangen.
Dann bleibt noch immer die Frage, dass RBAC ueberingineured und ueberkompliziert ist offen.
Die Behauptung, dass sudo nicht fuer grosse Einsaetze reicht stimmt nicht, weil ich selber sudo bei eine Menge risigen Firmen implementiert habe, und dort ist er bis zum heutigen Tag voll im Einsatz. Sogar voll durch Workflows automatisiert.
Und dennoch: zum was dient eine Loesung, wenn die Kunden sie ablehnen, und, wie sie auch dieses Blog angefangen haben, seltzam ausnutzen?
Waere dann nicht eine gute Frage, wieso das so ist?
Wie haben ja alle ueber RBAC in Solaris Kursen gelernt...
Gesendet von UX-admin am Februar 10, 2008 at 04:02 PM CET #
Es stimmt nicht, dass RBAC "nur auf Solaris zu finden ist".
RBAC ist auf Linux, HP-UX und AIX (seit 4.2.1 rudimentär) vorhanden.
RBAC ist ein internationler Standard (http://csrc.nist.gov/groups/SNS/rbac/) und nicht etwas was sich Sun einfach so ausgedacht hat.
RBAC ist m.E. nicht kompliziert, es ist nur anders als sudo.
Gegen RBAC sprechen lediglich folgende 2 Umstände:
1. mit RBAC sind leider nur binaries zu delegieren, aber keine files (wie z.B. config files) oder ganze directories. Das macht die Sache halbherzig und daher leider manchmal nicht anwendbar...
2. die profile shells von RBAC sind unkomfortabel - was manchen Admins, die damit arbeiten müssen und nur die bash beherrschen, ein Dorn im Auge ist. Aber diese profile shells sind ja nicht zum arbeiten da, sondern nur um die rollenzugeordneten binaries zu starten - und dafür ist kein Komfort nötig.
Gegen sudo spricht die sehr hohe Häufigkeit von Vulnerabilities, die immer wieder in sudo gefunden werden (was in der Natur der Sache ist).
Als Security-Verantwortlicher von UNIX-Systemen verwende ich lieber etwas unkomfortables aber dafür etwas sichereres.
Aber bald haben wir ja etwas viel besseres :o( >> FLASC !
Fein granulare Rechte ganz neuer Art mit speziellen features der NSA "angereichert"....
Da wird der Bock zum Gärtner gemacht. Ab dann verwende ich sicher wieder sudo..... ;o)
ciao,
hannes
Gesendet von hannes hochmeister am März 26, 2008 at 01:39 PM CET #