* lunedì 19 maggio 2003, alle 18:50, Fabio Muzzi scrive:
> MLT> Le acl sono ampiamente sopravvalutate, secondo la mia mai troppo modesta
> MLT> opinione.
>
> Per stabilita` o per utilita`?
Utilita`.
> L'utilita, IMFIO (in my fucking important opinion) e` quasi
> fondamentale, quando vuoi sostituire un server NT in una struttura
> complessa.
IMVSBSO (in my very sburon but sconsoled opinion), invece no.
L'accrocchio ACLloso di NT/2K poi assurge temi ridicoli: non funziona.
Davvero. Per fare qualnque cosa di piu` complesso che avviarlo, non
funziona. Quello che succede, dopo un po` di utilizzo, e` che diventa
talmente granulare e dispersivo, che fanculi tutto e fai tutto da admin.
Un paio di esempi, a caso: estensioni frontpage, asp per scrivere su un
qualunque mdb, ISAPI, e menate webbose.
Poniti il dubbio che se una struttura e` troppo complessa per essere
replicata su un meccanismo di permessi unix, _forse_ e` troppo complessa
_punto_.
Un buon hints e` che se non riesci a "pensarla" probabilmente, e` troppo
complicata, e diventa presto un accrocchio. Sto parlando in toni
generalistici, ovviamente, non so nulla del tuo caso, ma spesso mi e`
capitato "tusaidove", e anche di recente, ove ho sostituito un 2K mi
sono trovato in una situazione del genere, e la soluzione intelligente
(tm), e` stata "ripensare" la struttura.
> Nel readme che mi hai proposto non parla proprio di ACL, ma magari
> sono da un'altra parte...
Le patch di openwall _non_ prevedono ACL, ma altre cose IMHO piu` utili.
Se proprio ci tieni, invece:
http://www.grsecurity.net/ (sono anche in debian repository)
http://www.rsbac.org/
Entrambi non ti danno "solo" ACL, ma un vero MAC (Mandatory Access
Control, altra cosa, IMSO - in my sarcazzic opinion - drammaticamente
sopravvalutato, a meno di non lavorare per strutture di stampo
militare/governativo).
--
Maurizio - Tannoiser - Lemmo
Founder Member of ERLUG http://erlug.linux.it
-------------------------------------------------------------------------------
|