Linux: Vsys - następca SUDO?

Naukowcy z PlanetLab (Princeton University) opracowali program, który ma szansę zastąpić sudo - narzędzie popularne wśród administratorów systemów Linux i Unix. Vsys ma zapewniać dużo lepszą kontrolę nad dostępem użytkowników do uprzywilejowanych operacji.

Jeden z autorów rozwiązania, Sapan Bhatia, porównuje relację sudo do Vsys z tą między assemblerem a językiem C, co oznacza, że za pomocą nowego narzędzia można zrobić wszystko to, co dało się zrealizować używając starego, przy czym to nowe zawiera wiele udogodnień.

Sudo pozwala administratorom nadawać wyższe uprawnienia do wykonywania określonych operacji na komputerze, bez potrzeby jednoczesnego przyznawania im uprawnień absolutnych (root) do danego systemu. Często sami administratorzy korzystają z tego narzędzia, dzięki czemu są bardziej świadomi, gdy podejmują potencjalnie niebezpieczne działania, choć wielu specjalistów uważa sudo za niepotrzebną podpórkę (zob. Dziewięć zasad administratora Uniksa.

Zobacz również:

  • SUSE ma pierwszego partnera Platinum w Polsce

Vsys jest podobny do sudo, ale jego zaletą jest precyzyjniejsze zarządzanie dostępem do zasobów systemowych. "Użytkownicy czasami potrzebują funkcji i zasobów, do których zgodnie z domyślnym modelem bezpieczeństwa nie mają dostępu" - mówi Bhatia. "Mogą potrzebować plików, które są niewidoczne czy uruchamiania poleceń, do których zwykli użytkownicy nie mają uprawnień"

Z podobnym problemem musieli zmierzyć się specjaliści z PlanetLab. Stworzony przez nich Vsys pozwala naukowcom pracującym w tym ośrodku na dostęp do niskopoziomowych funkcji systemu, by móc testować i rozwijać nowe technologie sieciowe, a przy tym, by ich działania były odizolowane od środowiska produkcyjnego.

Vsys został zbudowany z wykorzystaniem kilku narzędzi Uniksa, wśród których najistotniejsze to ptrace - służące do śledzenia procesów, czy chroot - definiujące katalog główny (root) użytkownika. Za pomocą Vsys można tworzyć skrypty (zwane rozszerzeniami), które mogą precyzyjnie określać, jakie działania użytkownika są dozwolone. Rozszerzenia te są pisane w jednym z wielu języków programowania i są dostępne jako pliki wykonywalne.

W artykule towarzyszącym prezentacji rozwiązania, autorzy opisali różnice między Vsys a innymi alternatywami dla sudo (takimi jak SUS czy ssu). Jak można przeczytać w dokumencie: "W przeciwieństwie do tamtych narzędzi i ich wariantów, działanie Vsys wykracza poza określenie ACL (praw dostępu) dla uprzywilejowanych poleceń. Vsys ma ułatwiać budowanie odizolowanych operacji za pomocą istniejących narzędzi".

Jak przekonuje inny z prelegentów, Eddie Kohler, choć użytkownicy rzadko korzystający z sudo raczej nie zainteresują się Vsys, to dla administratorów centrów danych to narzędzie może się okazać atrakcyjne. Wytrawny administrator osiągnie funkcjonalność Vsys za pomocą sudo i innych narzędzi Uniksa, ale będzie to go kosztować więcej pracy niż skorzystanie z Vsys.

PlanetLab mieści się w Princeton University i jest globalną siecią badawczą łączącą wiele instytucji akademickich, rządowych oraz firm.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200