Увидел в редмайне такую вещь, как хранилище в виде FS. Все, вроде, вкусно. Но есть опасения: не дает ли эта штука доступа к системе.
Ведь, если в некую папку в этом хранилище положить симлинк на корень диска ("/"), злоумышленник получит доступ ко многим вещам.
Тут первая часть вопроса - к точке, указанной в корне хранилища доступ осуществляется через chroot или нет. Если да. то это уже легче.
Вторая часть вопроса: как можно ограничить места ФС, к которым менеджер проекта может разрешить доступ? Или же тут только один вариант - никому не давать привелегий "менеджер", только "разработчик" и "генератор отчетов"?
Понимаю, что сущностей, вроде менеджер/разработчик/админ/модератор можно наплодить с разным уровнем доступа, но вопрос больше идет по ограничениям, касаемымм именно файловой системы.
Полная версия этой страницы: Redmine и файловая система
Форум разработчиков электроники ELECTRONIX.ru > Cистемный уровень проектирования > Управление проектами
Цитата(AlexMad @ Oct 16 2011, 19:38) 
Увидел в редмайне такую вещь, как хранилище в виде FS. Все, вроде, вкусно. Но есть опасения: не дает ли эта штука доступа к системе.
Ведь, если в некую папку в этом хранилище положить симлинк на корень диска ("/"), злоумышленник получит доступ ко многим вещам.
Тут первая часть вопроса - к точке, указанной в корне хранилища доступ осуществляется через chroot или нет. Если да. то это уже легче.
Вторая часть вопроса: как можно ограничить места ФС, к которым менеджер проекта может разрешить доступ? Или же тут только один вариант - никому не давать привелегий "менеджер", только "разработчик" и "генератор отчетов"?
Понимаю, что сущностей, вроде менеджер/разработчик/админ/модератор можно наплодить с разным уровнем доступа, но вопрос больше идет по ограничениям, касаемымм именно файловой системы.
Ведь, если в некую папку в этом хранилище положить симлинк на корень диска ("/"), злоумышленник получит доступ ко многим вещам.
Тут первая часть вопроса - к точке, указанной в корне хранилища доступ осуществляется через chroot или нет. Если да. то это уже легче.
Вторая часть вопроса: как можно ограничить места ФС, к которым менеджер проекта может разрешить доступ? Или же тут только один вариант - никому не давать привелегий "менеджер", только "разработчик" и "генератор отчетов"?
Понимаю, что сущностей, вроде менеджер/разработчик/админ/модератор можно наплодить с разным уровнем доступа, но вопрос больше идет по ограничениям, касаемымм именно файловой системы.
Добрый день.
Немного сумбурно написали.
Если у вас все на ФС реализовали, то можно смело доступ через chroot, но это лишь, если граничить по рабочим папкам юзеров.
Если убрать chroot, то политику можно уже держать через отношение к группам, т.е. да на редактирование, достпуп и тд. Таков вариант реализации норм, если учесть поправку на запрет корня, сдевал алиасы на корневой вход.
Реализацию по делению на группы и права доступа применяю по сей день в проектах разных людей. Очень удобно стандартизовать группы, тогда через nfs доступ по сети можно реализовывать как локально :-) Удачи.
Цитата(gemuz @ Oct 8 2013, 22:18)
Добрый день.
Немного сумбурно написали.
Если у вас все на ФС реализовали, то можно смело доступ через chroot, но это лишь, если граничить по рабочим папкам юзеров.
Если убрать chroot, то политику можно уже держать через отношение к группам, т.е. да на редактирование, достпуп и тд. Таков вариант реализации норм, если учесть поправку на запрет корня, сдевал алиасы на корневой вход.
Реализацию по делению на группы и права доступа применяю по сей день в проектах разных людей. Очень удобно стандартизовать группы, тогда через nfs доступ по сети можно реализовывать как локально :-) Удачи.
Немного сумбурно написали.
Если у вас все на ФС реализовали, то можно смело доступ через chroot, но это лишь, если граничить по рабочим папкам юзеров.
Если убрать chroot, то политику можно уже держать через отношение к группам, т.е. да на редактирование, достпуп и тд. Таков вариант реализации норм, если учесть поправку на запрет корня, сдевал алиасы на корневой вход.
Реализацию по делению на группы и права доступа применяю по сей день в проектах разных людей. Очень удобно стандартизовать группы, тогда через nfs доступ по сети можно реализовывать как локально :-) Удачи.
Простите, мой вопрос был уже давно... Но я не помню, чтобы я спрашивал про nfs и группы доступа.
Вопрос, насколько я помню, был только про redmine. И про chroot я только спросил, предполагая, что в redmine что-то подобное реализовано. Или как раз не реализовано.
Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.