Andò allora da un security.guru, che gli disse:
"Non puoi pretendere di capire SELinux senza conoscerlo intimamente".
Il SysAdmin, umiliato, chinò la testa, tornò nella sua caverna e si procurò diversi
testi su SELinux. Iniziò a studiarli, ma, invece di sentire
l'illuminazione dentro di sè, sentiva un senso di sgomento crescere
nel suo animo.
Finchè un giorno, su uno dei testi egli lesse la frase
"è molto importante conoscere bene la policy di selinux per la vostra
distribuzione".
Egli allora aprì il tool grafico per il browsing della
policy ed ecco, le regole erano migliaia, e la loro concatenazione era
senza senso, e sendmail.cf era chiaro come un cristallo di rocca al
confronto (e tale era anche il kernel in forma binaria).
Il SysAdmin tornò allora dal security.guru e gli disse:
"Di certo tu sapevi che non è possibile studiare e conoscere miglialia di regole - dimmi dunque come devo procedere".
E il security.guru gli disse:
"Perchè ti preoccupi di queste cose? La policy di SELinux viene a te compilata da chi ne capisce".
E il SysAdmin dubitò nel suo cuore, e pensò:
"Costui prima mi dice studia. Quando studio e trovo il non senso, mi dice di non preoccuparmi. Ma intanto i miei server languiscono e i log sono muti."
E allora volgendosi al security.guru gli disse
"Tu hai fumato molto
male".
E il guru a lui:
"Tu parli così perché il tuo cuore è perduto,
e non conosci il Principio del Minimo Privilegio".
Ma allora il SysAdmin spiegò al guru, con molti interessanti dettagli, a quali fini poteva
porre il principio del minimo privilegio, e di usare SELinux per farcisi i bigodini, e gli consigliò di tornare a scrivere ACL in Windows, che gli avrebbe arrecato giovamento. E il guru, provando grande sdegno nel suo cuore si allontanò dal SysAdmin, ma allontanandosi cadde nella Geenna delle group policies, dove per lui fu pianto e stridor di denti.
Ma il SysAdmin si volse verso la sua console e digitò:
# for h in $(serverlist) ; do ssh $h setenforce 0; done
Ed ecco un grande senso di pace scese nel suo cuore, e i demoni
ricominciarono a funzionare e tutto fu letizia nel data center.
No comments:
Post a Comment