Die Rollen SECURITY, ROOT, UPDATE und BACKUSER
SECURITY
Die Rolle SECURITY bestimmt die Möglichkeiten des Sicherheitsbeauftragten (auch SecOff genannt). Diese Rolle kann das gesamte RSBAC-Regelwerk bearbeiten: Es können neue Rollen definiert und Rechte bestehender Rollen geändert werden. Wegen seiner Mächtigkeit ist die Rolle SECURITY in der Voreinstellung nur von der lokalen Konsole aus zugänglich. Ein SSH-Remote-Zugang für SECURITY kann nur durch MAINT für einen begrenzten Zeitraum aktiviert werden. Eine Übersicht über die Besonderheiten der Rolle SECURITY zeigt die Tabelle:
| +/- | Rolle SECURITY | Bemerkung |
|---|---|---|
| + | Editieren sämtlicher RSBAC-Regeln | |
| + | Prüfen aller Protokolldateien | |
| + | Nur-Lese-Zugriff auf Benutzerdaten | |
| - | Grafische Oberfläche | |
| - | Netzwerkzugriff | (ohne weitere Rechtevergabe) |
ROOT
Die Rolle ROOT entspricht im wesentlichen dem klassischen Systemverwalter für Systemdienste. Als ROOT können installierte Systemdienste gestartet und angehalten werden, es können Tests mit Systemwerkzeugen durchgeführt und eingeschränkt Systemdienste konfiguriert werden. Gegenüber dem allmächtigen root-Account eines normalen Linux-Systems unterliegt die Rolle ROOT besonderen Beschränkungen. So kann ROOT insbesondere nicht auf die Verzeichnisse der Benutzer zugreifen, kann keine Programme mit RSBAC-Rechten ausstatten und generell keine RSBAC-Rechte ändern, wohl aber die RSBAC-Rechte ansehen. Eine Übersicht über die Besonderheiten der Rolle ROOT zeigt die Tabelle:
| +/- | Rolle ROOT | Bemerkung |
|---|---|---|
| + | Editieren der Konfiguration von ungeschützten Systemdiensten | |
| + | Nutzung von Test-Tools | (z.B. netstat) |
| + | Installation von Programm-Paketen ausserhalb der Standard-Pfade | Zur Ausführung notwendige RSBAC-Rechte müssen von SECURITY vergeben werden! |
| + | Aufruf von „rsbac_menu“ nur lesend | |
| - | Zugriff auf /home-Verzeichnisse | |
| - | Editieren von geschützten Konfigurationsdateien | |
| - | Grafische Oberfläche | |
UPDATE
Die Rolle UPDATE dient der unkomplizierten Aktualisierung des TightGate™ Systems. UPDATE vereinigt die Möglichkeiten des Netzwerkzugriffs (z.B. mittels ssh) und des Updates von Programm-Paketen mittels eines Paketmanagers. Eine Übersicht über die Besonderheiten der Rolle UPDATE zeigt die Tabelle:
| +/- | Rolle UPDATE | Bemerkung |
|---|---|---|
| + | Starten von Paket-Updates | |
| + | Sichern und Zurückspielen der RSBAC-Konfiguration da bei der Aktualisierung Attribute gelöscht werden können. | |
| + | Über Menüfunktionalität beschränkte Aktualisierung der installierten Programmpakete | Zur Ausführung notwendige RSBAC-Rechte müssen von SECURITY gesetzt werden! |
| - | Grafische Oberfläche | |
| - | Zugriff auf /home-Verzeichnisse | |
| - | RSBAC-Konfiguration ändern | |
| - | Shell-Zugriff | |
BACKUSER
Die Rolle BACKUSER dient der Erstellung von Backups und zum Rücksicherung von bestehenden Backups in das TightGate™ Systems. BACKUSER hat als einzige Rolle die Möglichkeit für die Erstellung von Backups auf /home-Verzeichnisse zuzugreifen. Es ist BACKUSER nicht erlaubt Programme zu installieren oder eine Inhaltskontrolle der /home-Verzeichnisse vorzunehmen. Eine Übersicht über die Besonderheiten der Rolle BACKUSER zeigt die Tabelle:
| +/- | Rolle BACKUSER | Bemerkung |
|---|---|---|
| + | Lese/Schreibe-Zugriff auf das CD/DVD und das Bandlaufwerk | Beschränkt auf das Sichern/Rücksichern von Backups |
| + | Netzwerkzugriff | Beschränkt auf Backup-Server |
| + | Lese/Schreib-Zugriff auf /home-Verzeichnisse | Keine Inhaltskontrolle möglich! |
| + | Über Menüfunktionalität Erstellung neuer und Rücksicherung bestehender Backups | |
| - | Grafische Oberfläche | |
| - | RSBAC-Konfiguration ändern | |
| - | Shell-Zugriff | |