CaclMgr
CaclMgr是与sudo类似的,用于UNIX/Linux上的权限委托软件, 但比sudo安全得多。CaclMgr含有最先进,灵活的环境变量及其值的范围控制。是用于以最低授权原则进行作业自动化的最佳工具。
请参见我们的案例研究,从中您可看到CaclMgr用于加强作业安全性的实例。
与别的权限委托软件不同,CaclMgr是一种非常易用,面向所有特权用户的授权软件。例如,用别的授权软件, 您若想将数据库管理员执行某个命令的权限交与另一个普通用户,此项设置需由超级用户来完成。CaclMgr则不同,它让所有的特权用户自行管理其命令执行权限的授权,无需超级用户的介入,完全符合最低授权原则。
CaclMgr的授权管理也容易及有效: 任何用户都可用一简单的命令对他人进行授权,查看有哪些用户得到了其授权,哪些用户使用了其授权,哪些已授权他人的命令有了改变,及撤销某一授权。
另外,CaclMgr的日志文件也更可信。
与Power Broker相比, CaclMgr使用更灵活,适用范围更广,成本也更低。
以下是CaclMgr的一些特点:
1. 容易维护及使用: 任何特权用户都可直接用一个命令来对其他用户进行授权;查看其已授权的用户及命令;查看谁已用其授权执行了哪些命令及在何时;撤销对某用户的授权;更新命令校验码。
2. 帮助安全知识较欠缺的用户维持系统的安全性: 当进行命令授权时,CaclMgr会检查该命令,看其是否出现在/etc/CaclMgr.warm命令列表中,若是,该命令在授权环境下是不安全的,用户会受到警告.由此可避免由于安全知识的缺乏而造成的安全漏洞。
3. 任何用户均可直接使用,无需经由root,更符合最低权限原则。
4. 能用于系统及应用自动化作业。
5. 具有唯一的及最全面的检测以软件手法窃取口令的攻击的功能,能实时检测多数以软件手法进行的口令窃取攻击。
6. 有对环境变量及其值的范围的最先进的控制,而且用户可对除了HOME/USER/LOGNAME/PATH/SHELL/CACL_USER之外所有的环境变量进行控制,无需等待CaclMgr软件的更新。并且,环境变量及其值的范围的控制是以命令为单位的,例如,若某一变量及其在某范围内的值可被用于某个特定的命令,则您可将该变量及其值范围的说明放入/etc/badenv.lst文件中, 并将该命令列入其例外命令列表中。
7. 十分安全,同时命令执行日志也更可信。CaclMgr的命令执行日志不仅列出命令的起始执行时间,也会列出命令的结束时间。CaclMgr还能检测到在命令授权执行过程中对日志文件的非法修改。