On Tue, 2020-11-17 at 21:25 +0500, Lev Lamberov wrote: > Вт 17 ноя 2020 @ 09:48 Galina Anikina <meril...@yandex.ru>: > > > On Fri, 2020-11-13 at 15:39 +0500, Lev Lamberov wrote: > > > > -<p>If the <q>enable-acl</q> cluster option isn't enabled, > > > members of > > > the > > > -<q>haclient</q> group can modify Pacemaker's Cluster Information > > > Base without > > > -restriction, which already gives them these capabilities, so > > > there > > > is > > > -no additional exposure in such a setup.</p> > > > +<p>Если для кластера не включена опция "enable-acl", то члены > > > группы > > > +<q>haclient</q> могут изменять информацию о кластере Pacemaker > > > без > > > +ограничений, что уже даёт им данные возможности, поэтому при > > > таких > > > +настройках нет дополнительных проблем безопасности.</p> > > > Что-то здесь не так - не понятно, может изложить мысль как-то по > > другому? Я при чтении всего предложения не поняла этот кусок, хотя > > может специалистам ясно. > > Сделал так: > > Если для пользователей из группы <q>haclient</q> настроены списки > управления > доступом, то эти ограничения можно обойти с помощью неограниченного > IPC-взаимодействия, что приводит к выполнению произвольного кода с > правами > суперпользователя на всех машинах кластера. > > Спасибо!
Отлично, умница! Всё сразу "влёт" понятно :-)