Вт 17 ноя 2020 @ 09:48 Galina Anikina <[email protected]>: > On Fri, 2020-11-13 at 15:39 +0500, Lev Lamberov wrote:
>> -<p>If the <q>enable-acl</q> cluster option isn't enabled, members of >> the >> -<q>haclient</q> group can modify Pacemaker's Cluster Information >> Base without >> -restriction, which already gives them these capabilities, so there >> is >> -no additional exposure in such a setup.</p> >> +<p>Если для кластера не включена опция "enable-acl", то члены группы >> +<q>haclient</q> могут изменять информацию о кластере Pacemaker без >> +ограничений, что уже даёт им данные возможности, поэтому при таких >> +настройках нет дополнительных проблем безопасности.</p> > Что-то здесь не так - не понятно, может изложить мысль как-то по > другому? Я при чтении всего предложения не поняла этот кусок, хотя > может специалистам ясно. Сделал так: Если для пользователей из группы <q>haclient</q> настроены списки управления доступом, то эти ограничения можно обойти с помощью неограниченного IPC-взаимодействия, что приводит к выполнению произвольного кода с правами суперпользователя на всех машинах кластера. Спасибо!

