PlanetLab全球研究网络的研究人员开发了一种名为Vsys的工具,可以替代目前广泛使用的Unix sudo工具。Vsys可以让管理员对终端用户的访问权限进行更大的控制。
普林斯顿大学(Princeton University)行星实验室研究员萨潘·巴蒂亚(Sapan Bhatia)上周在俄勒冈州波特兰市举行的Usenix会议上介绍了这项技术,他说:“Vsys是限制特权操作的工具。”
“sudo和Vsys之间的融洽就像汇编语言和C语言之间的融洽,在某种意义上,你可以用前者做任何你可以用后者做的事情,”Bhatia说。然而,“Vsys包含许多便利机制,如果你持续需要它们,你要么使用Vsys,要么最终开发出类似Vsys的东西。”
Sudo是一种广泛使用的Unix和Linux命令行工具,它可以限制用户在计算机上执行的操作。系统管理员通常使用它来授予用户计算机上某些高级功能的特权,而不授予他们计算机的绝对“根”特权。此外,作为作为根用户登录的另一种选择,sudo可以帮助管理员自己更清楚地认识到进行潜在的有害操作。
Vsys与sudo类似,但它提供对系统资源的更细粒度访问。“用户有时会对默认安全模型不直接支持的特性和资源提出要求,”Bhatia说。“他们可能想要看不到的文件,或者他们可能想要运行普通用户不允许运行的命令。”
PlanetLab创建了Vsys,使其研究人员能够访问底层网络功能,从而开发新的网络技术——覆盖网络、用户级文件系统、虚拟交换机——同时他们的实验工作仍然与其他用户安全隔离。
Vsys实际上是使用许多其他Unix工具构建的,最著名的是Ptrace(进程跟踪器)和chroot(定义用户的根文件系统)。
使用Vsys,管理员可以创建称为扩展的脚本,这些脚本可以详细说明哪些用户操作是允许的。扩展可以用任何编程语言编写。扩展名是可执行文件。
在报纸上伴随表示,开发人员描述了Vsys与其他高级sudo替代品(如SUS和ssu)的区别。
与这些工具及其变体不同,Vsys的目标超出了为特权命令定义acl(访问控制列表)的范围。Vsys旨在促进现有工具的组合,以构建独立的操作。”
虽然Vsys可能不会取代普通用户使用的sudo,但Vsys更适合数据中心的管理员,艾迪·科勒(Eddie Kohler)说,他是Bhatia参加的演讲小组的主席。雷竞技电脑网站精明的管理员可能会结合使用sudo和其他Unix工具编写复制Vsys所需的所有功能的脚本,尽管这将比仅仅使用Vsys要多很多工作。
PlanetLab总部位于普林斯顿大学,是一个全球性的研究网络连接多家学术、产业和政府机构。
约押杰克逊报道企业软件和通用技术突发新闻IDG新闻服务.请在Twitter上关注约押@Joab_Jackson.约押的电子邮件地址是Joab_Jackson@idg.com