Помню когда тема о правах доступа в linux (chmod) была для меня незнакомой, я находил разные статьи, которые очень сильно раздражали пробелами в объяснениях, давали рваные фрагменты понимания ситуации и оставляли больше вопросов чем ответов.
Рубрика «rbac»
Права в Linux: chown-chmod, SELinux context, символьная-восьмеричная нотация, DAC-MAC-RBAC-ABAC
2026-04-24 в 16:46, admin, рубрики: acl, chmod, chown, dac, linux, mac, rbac, selinux, права доступа, системное администрированиеAuthorization без middleware: как я завернул Casbin в декораторы для FastAPI
2026-04-02 в 17:46, admin, рубрики: ABAC, api, Casbin, fastapi, open source, python, rbac, авторизация, декораторыКогда в FastAPI-проекте появляется нормальная авторизация, код быстро начинает расползаться в стороны.
Сначала все выглядит терпимо: один Depends(get_current_user), один Depends(get_enforcer), одна ручная проверка. Потом роутов становится больше, правил доступа становится больше, и внезапно половина endpoint’ов начинает содержать не бизнес-логику, а обвязку вокруг нее.
В какой-то момент меня перестал устраивать и классический подход через dependency injection в каждом роуте, и вариант с middleware. Хотелось, чтобы правило доступа было видно прямо рядом с маршрутом, но при этом не приходилось таскать авторизацию в сигнатуры всех функций.
STAC — знакомство: Универсальные браузеры и управление доступом к пространственным данным (часть 3)
2026-03-11 в 14:56, admin, рубрики: ABAC, assets, catalog, collection, GeoJSON, GeoTIFF, IAM, item, rbac, STAC1. Предисловие
В первых двух статьях мы разобрали основы спецификации STAC (SpatioTemporal Asset Catalog), её объектную модель и философию, превращающую разрозненные архивы геоданных в единую, машиночитаемую «библиотеку». Мы увидели, как STAC описывает каталоги (catalog), коллекции (collection), элементы (item) и их ресурсы (assets), создавая универсальный язык для работы с геопространственной информацией.
Пакет управления доступом на основе ролей (RBAC) для PHP
2025-11-05 в 10:16, admin, рубрики: php, rbac, web-разработка, разрешенияВведение
На рисунке 1 представлена схема базы данных.
Каждый пользователь user с идентификатором id может иметь список разрешений permissions и ролей roles.
Каждая роль role имеет наименование name, описание description, список разрешений permissions и список дочерних ролей roles.
Каждое разрешение permission имеет имя name и описание description.
Пользователи и авторизация RBAC в Kubernetes
2019-10-10 в 6:36, admin, рубрики: devops, kubernetes, rbac, Блог компании Флант, информационная безопасность, системное администрированиеПрим. перев.: Продолжая недавно затронутую нами тему безопасности Kubernetes в целом и RBAC — в частности, публикуем перевод этого материала от французского консультанта из международной компании Big Data-компании Adaltas. Автор в деталях показывает, как создавать пользователей, наделять их правами и в дальнейшем обслуживать.
Настройка и запуск кластера Kubernetes – это только начало: ведь его необходимо еще и эксплуатировать. Чтобы обезопасить доступ к кластеру, нужно задать идентификационные данные пользователей и грамотно управлять настройками аутентификации и авторизации.
(Иллюстрация взята из блога CNCF — прим. перев.)
Эта статья посвящена тому, как создавать пользователей, используя клиентские сертификаты X.509, и как управлять авторизацией с помощью базовых API-объектов RBAC в Kubernetes. Мы также поговорим о некоторых открытых проектах, упрощающих администрирование кластера: rakkess, kubectl-who-can, rbac-lookup и RBAC Manager.Читать полностью »
Безопасность Helm
2019-08-07 в 10:30, admin, рубрики: devops, devopsconf, helm, k8s, kubernetes, open source, rbac, Блог компании Конференции Олега Бунина (Онтико), системное администрированиеЭмоджи классные, с их помощью можно даже отразить всю суть рассказа о самом популярном пакетном менеджере для Kubernetes:
- коробка — это Helm (это самое подходящее, что есть в последнем релизе Emoji);
- замок — безопасность;
- человечек — решение проблемы.
Конечно, построить весь рассказ на основе одних эмоджи будет трудно, поэтому дальше схемы будут более традиционного формата.
Поговорим про Helm.
- Кратко, что такое Helm, если вы не знали или забыли. Какие проблемы он решает и где находится в экосистеме.
- Рассмотрим архитектуру Helm. Ни один разговор о безопасности и о том, как сделать инструмент или решение более безопасным, не может обойтись без понимания архитектуры компонента.
- Обсудим компоненты Helm.
- Самый животрепещущий вопрос— будущее — новая версия Helm 3.
Все в этой статье относится к Helm 2. Эта версия сейчас находится в продакшене и, скорее всего, именно его вы сейчас используете, и именно в нем есть угрозы безопасности.
Читать полностью »
Назад к микросервисам вместе с Istio. Часть 3
2019-03-29 в 8:03, admin, рубрики: auth0, devops, Istio, kubernetes, rbac, Блог компании Флант, информационная безопасность, микросервисы
Прим. перев.: Первая часть этого цикла была посвящена знакомству с возможностями Istio и их демонстрации в действии, вторая — тонко настраиваемой маршрутизации и управлению сетевым трафиком. Теперь же речь пойдёт про безопасность: для демонстрации связанных с ней базовых функций автор использует identity-сервис Auth0, однако по аналогии с ним могут настраиваться и другие провайдеры.
Мы настроили Kubernetes-кластер, в котором развернули Istio и пример микросервисного приложения Sentiment Analysis, — так были продемонстрированы возможности Istio.
С помощью Istio нам удалось сохранить небольшой размер сервисов, поскольку они не нуждаются в реализации таких «слоёв», как повторные попытки подключения (Retries), таймауты (Timeouts), автоматический выключатели (Circuit Breakers), трассировка (Tracing), мониторинг (Monitoring). Кроме того, мы задействовали техники продвинутого тестирования и деплоя: A/B-тестирование, зеркалирование и канареечные выкаты.Читать полностью »