Linux: Vsys - następca SUDO?
- IDG News Service,
- miw,
- 07.07.2011, godz. 09:01
Naukowcy z PlanetLab (Princeton University) opracowali program, który ma szansę zastąpić sudo - narzędzie popularne wśród administratorów systemów Linux i Unix. Vsys ma zapewniać dużo lepszą kontrolę nad dostępem użytkowników do uprzywilejowanych operacji.
Zobacz też:
Sudo pozwala administratorom nadawać wyższe uprawnienia do wykonywania określonych operacji na komputerze, bez potrzeby jednoczesnego przyznawania im uprawnień absolutnych (root) do danego systemu. Często sami administratorzy korzystają z tego narzędzia, dzięki czemu są bardziej świadomi, gdy podejmują potencjalnie niebezpieczne działania, choć wielu specjalistów uważa sudo za niepotrzebną podpórkę (zob. Dziewięć zasad administratora Uniksa.
Zobacz również:
- Ta inicjatywa ma ułatwić firmom zadanie wdrażania systemów AI
- macOS 13.4 - problemy z kompatybilnością z aplikacjami
Vsys jest podobny do sudo, ale jego zaletą jest precyzyjniejsze zarządzanie dostępem do zasobów systemowych. "Użytkownicy czasami potrzebują funkcji i zasobów, do których zgodnie z domyślnym modelem bezpieczeństwa nie mają dostępu" - mówi Bhatia. "Mogą potrzebować plików, które są niewidoczne czy uruchamiania poleceń, do których zwykli użytkownicy nie mają uprawnień"
Z podobnym problemem musieli zmierzyć się specjaliści z PlanetLab. Stworzony przez nich Vsys pozwala naukowcom pracującym w tym ośrodku na dostęp do niskopoziomowych funkcji systemu, by móc testować i rozwijać nowe technologie sieciowe, a przy tym, by ich działania były odizolowane od środowiska produkcyjnego.
Vsys został zbudowany z wykorzystaniem kilku narzędzi Uniksa, wśród których najistotniejsze to ptrace - służące do śledzenia procesów, czy chroot - definiujące katalog główny (root) użytkownika. Za pomocą Vsys można tworzyć skrypty (zwane rozszerzeniami), które mogą precyzyjnie określać, jakie działania użytkownika są dozwolone. Rozszerzenia te są pisane w jednym z wielu języków programowania i są dostępne jako pliki wykonywalne.
W artykule towarzyszącym prezentacji rozwiązania, autorzy opisali różnice między Vsys a innymi alternatywami dla sudo (takimi jak SUS czy ssu). Jak można przeczytać w dokumencie: "W przeciwieństwie do tamtych narzędzi i ich wariantów, działanie Vsys wykracza poza określenie ACL (praw dostępu) dla uprzywilejowanych poleceń. Vsys ma ułatwiać budowanie odizolowanych operacji za pomocą istniejących narzędzi".
Jak przekonuje inny z prelegentów, Eddie Kohler, choć użytkownicy rzadko korzystający z sudo raczej nie zainteresują się Vsys, to dla administratorów centrów danych to narzędzie może się okazać atrakcyjne. Wytrawny administrator osiągnie funkcjonalność Vsys za pomocą sudo i innych narzędzi Uniksa, ale będzie to go kosztować więcej pracy niż skorzystanie z Vsys.
PlanetLab mieści się w Princeton University i jest globalną siecią badawczą łączącą wiele instytucji akademickich, rządowych oraz firm.