Re: MInimalizace práv pro uživatele SVN

[Pavel Kankovsky]

On Wed, 17 Mar 2010, Oto Buchta wrote:

> Proste mam na pateri jenom jeden stroj a chci, aby tam byl jak vyvoj,
> tak web a bezely tam nejake aplikace.

Tohle je opravdu strkání všech vajec do jednoho košíku.

Unixovými právy to asi udělat lze, ale 1. každá aktivita musí probíhat po
jiným neprivilegovaným účtem (říkáte, že tam máte webové aplikace?), 2.  
musí být ta práva všude nastavena dobře, a protože je to DAC, tak stačí
jeden moula, který to pokazí, 3. nesmí se nikdo probourat na roota nebo do
jiného účtu.

Poněkud spolehlivější oddělení by snad šlo udělat SELinuxem, např. pomocí 
MCS. Ale stále by to zcela neřešilo bod 3, i když vhodná politika výrazně 
redukuje riziko, že k eskalaci oprávnění dojde.

Nebo když už to chcete mermomocí dělat na jednom stroji, nemohl by být 
aspoň rozdělen na několik virtuálních? Např. jeden pro web, druhý pro 
interní vývoj, třetí pro externisty.

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /