home.social
Sign in Create account

#rbac — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #rbac, aggregated by home.social.

  1. freekmurze @[email protected] ·

    🔗 RBAC in Laravel: A Practical Deep Dive
    wendelladriel.com/blog/rbac-in
    #php #security #laravel #authorization #rbac

    #php #security #laravel #authorization #rbac
  2. Habr @[email protected] ·

    Почему RBAC недостаточно: опыт построения тарифно-зависимой системы доступа в SaaS или о чём молчат в статьях компаний

    Тема разграничения доступности действий в рамках конкретного тенанта выходит далеко за рамки ERP домена и требует особо пристальной реализации. Это особенно применимо для коммерческих систем (коей и является Kroncl - название системы), в которых классический RBAC требует определённых доработок, включающих адаптацию к упрощённой features-based access control (в народе - FBAC, является своего рода реализацией ABAC). Кроме того, технологические компании крайне редко (уникальные случаи всё же есть) посвящают публичные статьи внутреннему устройству своих систем тарификации, что крайне печально, ведь это буквально могли быть рассказы о том, как архитектурные решения напрямую влияют на маркетинг и как следствие доходность компании. Как же строить системы определения доступа не вокруг конкретных действий, а экономической модели платформы? Как легко переусложнить то, что переусложнять априори не стоит? Где заканчивается гибкость и начинается ад поддержки?

    habr.com/ru/articles/1028298/

    #go #архитектура #rbac #abac #тарификация #php #доступы #saas #erp #crm

    #crm #erp #saas #доступы #php #тарификация
  3. Habr @[email protected] ·

    Права в Linux: chown/chmod, SELinux context, символьная/восьмеричная нотация, DAC/MAC/RBAC/ABAC

    Собрал в одном месте всё, что нужно знать о правах в Linux, простым и понятным языком: символьная и восьмеричная нотация, SUID/SGID/Sticky bit, SELinux-контекст, DAC, MAC, RBAC, ABAC, команды ls/stat/chmod/chown/find — с примерами и схемами, к которым легко вернуться.

    habr.com/ru/articles/1027674/

    #linux #chmod #chown #SELinux #права_доступа #DAC #MAC #RBAC #ACL #системное_администрирование

    #системное_администрирование #acl #rbac #mac #dac #права_доступа
  4. Habr @[email protected] ·

    Права в Linux: chown/chmod, SELinux context, символьная/восьмеричная нотация, DAC/MAC/RBAC/ABAC

    Собрал в одном месте всё, что нужно знать о правах в Linux, простым и понятным языком: символьная и восьмеричная нотация, SUID/SGID/Sticky bit, SELinux-контекст, DAC, MAC, RBAC, ABAC, команды ls/stat/chmod/chown/find — с примерами и схемами, к которым легко вернуться.

    habr.com/ru/articles/1027674/

    #linux #chmod #chown #SELinux #права_доступа #DAC #MAC #RBAC #ACL #системное_администрирование

    #системное_администрирование #acl #rbac #mac #dac #права_доступа
  5. Habr @[email protected] ·

    Права в Linux: chown/chmod, SELinux context, символьная/восьмеричная нотация, DAC/MAC/RBAC/ABAC

    Собрал в одном месте всё, что нужно знать о правах в Linux, простым и понятным языком: символьная и восьмеричная нотация, SUID/SGID/Sticky bit, SELinux-контекст, DAC, MAC, RBAC, ABAC, команды ls/stat/chmod/chown/find — с примерами и схемами, к которым легко вернуться.

    habr.com/ru/articles/1027674/

    #linux #chmod #chown #SELinux #права_доступа #DAC #MAC #RBAC #ACL #системное_администрирование

    #системное_администрирование #acl #rbac #mac #dac #права_доступа
  6. Habr @[email protected] ·

    Права в Linux: chown/chmod, SELinux context, символьная/восьмеричная нотация, DAC/MAC/RBAC/ABAC

    Собрал в одном месте всё, что нужно знать о правах в Linux, простым и понятным языком: символьная и восьмеричная нотация, SUID/SGID/Sticky bit, SELinux-контекст, DAC, MAC, RBAC, ABAC, команды ls/stat/chmod/chown/find — с примерами и схемами, к которым легко вернуться.

    habr.com/ru/articles/1027674/

    #linux #chmod #chown #SELinux #права_доступа #DAC #MAC #RBAC #ACL #системное_администрирование

    #linux #chmod #chown #selinux #права_доступа #dac
  7. Kevin Veen-Birkenbach @[email protected] ·

    Souveräne Enterprise KI in Tagen statt Monaten mit Infinito.Nexus

    Der gezeigte Post steht exemplarisch für eine Entwicklung, die aktuell in vielen Unternehmen zu beobachten ist. Es werden kurzfristig KI Entwicklerinnen und Entwickler gesucht, die ein breites Spektrum abdecken, von LLM Integration über RAG bis hin zu produktiven Pipelines und skalierbaren Cloud und Container Umgebungen. Der Bedarf ist hoch, die Anforderungen komplex und die Zeitfenster meist sehr eng. Dabei zeigt sich immer wieder, dass die eigentliche Herausforderung nicht nur im Finden einzelner Expertinnen und Experten liegt, sondern in der fehlenden technischen Grundlage, um solche Lösungen schnell, sicher und nachhaltig umzusetzen. […]

    blog.infinito.nexus/blog/2026/

    #aiplatform #crmintegration #datenschutz #datensicherheit #enterpriseai #enterpriseki
  8. Kevin Veen-Birkenbach @[email protected] ·

    Souveräne Enterprise KI in Tagen statt Monaten mit Infinito.Nexus

    Der gezeigte Post steht exemplarisch für eine Entwicklung, die aktuell in vielen Unternehmen zu beobachten ist. Es werden kurzfristig KI Entwicklerinnen und Entwickler gesucht, die ein breites Spektrum abdecken, von LLM Integration über RAG bis hin zu produktiven Pipelines und skalierbaren Cloud und Container Umgebungen. Der Bedarf ist hoch, die Anforderungen komplex und die Zeitfenster meist sehr eng. Dabei zeigt sich immer wieder, dass die eigentliche Herausforderung nicht nur im Finden einzelner Expertinnen und Experten liegt, sondern in der fehlenden technischen Grundlage, um solche Lösungen schnell, sicher und nachhaltig umzusetzen. […]

    blog.infinito.nexus/blog/2026/

    #aiplatform #crmintegration #datenschutz #datensicherheit #enterpriseai #enterpriseki
  9. Kevin Veen-Birkenbach @[email protected] ·

    Souveräne Enterprise KI in Tagen statt Monaten mit Infinito.Nexus

    Der gezeigte Post steht exemplarisch für eine Entwicklung, die aktuell in vielen Unternehmen zu beobachten ist. Es werden kurzfristig KI Entwicklerinnen und Entwickler gesucht, die ein breites Spektrum abdecken, von LLM Integration über RAG bis hin zu produktiven Pipelines und skalierbaren Cloud und Container Umgebungen. Der Bedarf ist hoch, die Anforderungen komplex und die Zeitfenster meist sehr eng. Dabei zeigt sich immer wieder, dass die eigentliche Herausforderung nicht nur im Finden einzelner Expertinnen und Experten liegt, sondern in der fehlenden technischen Grundlage, um solche Lösungen schnell, sicher und nachhaltig umzusetzen. […]

    blog.infinito.nexus/blog/2026/

    #aiplatform #crmintegration #datenschutz #datensicherheit #enterpriseai #enterpriseki
  10. Kevin Veen-Birkenbach @[email protected] ·

    Souveräne Enterprise KI in Tagen statt Monaten mit Infinito.Nexus

    Der gezeigte Post steht exemplarisch für eine Entwicklung, die aktuell in vielen Unternehmen zu beobachten ist. Es werden kurzfristig KI Entwicklerinnen und Entwickler gesucht, die ein breites Spektrum abdecken, von LLM Integration über RAG bis hin zu produktiven Pipelines und skalierbaren Cloud und Container Umgebungen. Der Bedarf ist hoch, die Anforderungen komplex und die Zeitfenster meist sehr eng. Dabei zeigt sich immer wieder, dass die eigentliche Herausforderung nicht nur im Finden einzelner Expertinnen und Experten liegt, sondern in der fehlenden technischen Grundlage, um solche Lösungen schnell, sicher und nachhaltig umzusetzen. […]

    blog.infinito.nexus/blog/2026/

    #sso #souveraneki #sichereki #retrievalaugmentedgeneration #rbac #rag
  11. Kevin Veen-Birkenbach @[email protected] ·

    Souveräne Enterprise KI in Tagen statt Monaten mit Infinito.Nexus

    Der gezeigte Post steht exemplarisch für eine Entwicklung, die aktuell in vielen Unternehmen zu beobachten ist. Es werden kurzfristig KI Entwicklerinnen und Entwickler gesucht, die ein breites Spektrum abdecken, von LLM Integration über RAG bis hin zu produktiven Pipelines und skalierbaren Cloud und Container Umgebungen. Der Bedarf ist hoch, die Anforderungen komplex und die Zeitfenster meist sehr eng. Dabei zeigt sich immer wieder, dass die eigentliche Herausforderung nicht nur im Finden einzelner Expertinnen und Experten liegt, sondern in der fehlenden technischen Grundlage, um solche Lösungen schnell, sicher und nachhaltig umzusetzen. […]

    blog.infinito.nexus/blog/2026/

    #aiplatform #crmintegration #datenschutz #datensicherheit #enterpriseai #enterpriseki
  12. Habr @[email protected] ·

    RBACX — что изменилось за полгода: от простого RBAC/ABAC до ReBAC с ИИ-генерацией политик

    Полгода назад написал первую статью про RBACX — RBAC/ABAC-движок авторизации для Python. С тех пор вышло 25+ релизов, и библиотека стала заметно мощнее: добавил ReBAC с поддержкой OpenFGA и SpiceDB, пакетную проверку прав, ИИ-генерацию политик из OpenAPI-схемы, Redis-кэш, async Django, шортхэнд для ролей и закрыл три security-бага. Рассказываю что, зачем и как это вообще делается в одного.

    habr.com/ru/articles/1019690/

    #python #rbacx #rbac #abac #pdp #security #REBAC #authorization

    #authorization #rebac #security #pdp #abac #rbac
  13. Habr @[email protected] ·

    Authorization без middleware: как я завернул Casbin в декораторы для FastAPI

    Когда в FastAPI-проекте появляется нормальная авторизация, код быстро начинает расползаться в стороны. Сначала все выглядит терпимо: один Depends(get_current_user) , один Depends(get_enforcer) , одна ручная проверка. Потом роутов становится больше, правил доступа становится больше, и внезапно половина endpoint’ов начинает содержать не бизнес-логику, а обвязку вокруг нее. В какой-то момент меня перестал устраивать и классический подход через dependency injection в каждом роуте, и вариант с middleware. Хотелось, чтобы правило доступа было видно прямо рядом с маршрутом, но при этом не приходилось таскать авторизацию в сигнатуры всех функций. В итоге я собрал casbin-fastapi-decorator — тонкий слой над Casbin для FastAPI, который позволяет описывать authorization через декораторы. Идея простая:

    habr.com/ru/articles/1018670/

    #FastAPI #Python #Casbin #авторизация #rbac #abac #декораторы #api #open_source

    #open_source #api #декораторы #abac #rbac #авторизация
  14. Habr @[email protected] ·

    Продвинутый RBAC: роли, статусы, теги без боли и страданий

    Сегодня детально расскажу про сердце JMatrixPlatform - статусно-ролевой доступ к данным. Э то основа платформы, доступная сразу "из коробки", которая реализует продвинутый RBAC с привязкой прав к статусам объектов. Вы не найдёте в общем доступе внятного и современного описания такой методологии, тем более с примерами реализации "из коробки", а это означает, что сегодня очередной эпизод погружения в Области тьмы ИТ , куда не заглядывают модные фреймворки.

    habr.com/ru/articles/1017810/

    #jmatrixplatform #управление_доступом_к_данным #управление_доступом #rbac #статусноролевая_модель #abac #жизненный_цикл_объекта #keycloak #plm #импортозамещение

    #импортозамещение #plm #keycloak #жизненный_цикл_объекта #abac #статусноролевая_модель
  15. Habr @[email protected] ·

    Продвинутый RBAC: роли, статусы, теги без боли и страданий

    Сегодня детально расскажу про сердце JMatrixPlatform - статусно-ролевой доступ к данным. Э то основа платформы, доступная сразу "из коробки", которая реализует продвинутый RBAC с привязкой прав к статусам объектов. Вы не найдёте в общем доступе внятного и современного описания такой методологии, тем более с примерами реализации "из коробки", а это означает, что сегодня очередной эпизод погружения в Области тьмы ИТ , куда не заглядывают модные фреймворки.

    habr.com/ru/articles/1017810/

    #jmatrixplatform #управление_доступом_к_данным #управление_доступом #rbac #статусноролевая_модель #abac #жизненный_цикл_объекта #keycloak #plm #импортозамещение

    #импортозамещение #plm #keycloak #жизненный_цикл_объекта #abac #статусноролевая_модель
  16. Habr @[email protected] ·

    Продвинутый RBAC: роли, статусы, теги без боли и страданий

    Сегодня детально расскажу про сердце JMatrixPlatform - статусно-ролевой доступ к данным. Э то основа платформы, доступная сразу "из коробки", которая реализует продвинутый RBAC с привязкой прав к статусам объектов. Вы не найдёте в общем доступе внятного и современного описания такой методологии, тем более с примерами реализации "из коробки", а это означает, что сегодня очередной эпизод погружения в Области тьмы ИТ , куда не заглядывают модные фреймворки.

    habr.com/ru/articles/1017810/

    #jmatrixplatform #управление_доступом_к_данным #управление_доступом #rbac #статусноролевая_модель #abac #жизненный_цикл_объекта #keycloak #plm #импортозамещение

    #импортозамещение #plm #keycloak #жизненный_цикл_объекта #abac #статусноролевая_модель
  17. Habr @[email protected] ·

    Продвинутый RBAC: роли, статусы, теги без боли и страданий

    Сегодня детально расскажу про сердце JMatrixPlatform - статусно-ролевой доступ к данным. Э то основа платформы, доступная сразу "из коробки", которая реализует продвинутый RBAC с привязкой прав к статусам объектов. Вы не найдёте в общем доступе внятного и современного описания такой методологии, тем более с примерами реализации "из коробки", а это означает, что сегодня очередной эпизод погружения в Области тьмы ИТ , куда не заглядывают модные фреймворки.

    habr.com/ru/articles/1017810/

    #jmatrixplatform #управление_доступом_к_данным #управление_доступом #rbac #статусноролевая_модель #abac #жизненный_цикл_объекта #keycloak #plm #импортозамещение

    #jmatrixplatform #управление_доступом_к_данным #управление_доступом #rbac #статусноролевая_модель #abac
  18. Habr @[email protected] ·

    ИБ‑гигиена для среднего бизнеса: почему один уволенный стоит дороже годового бюджета на безопасность

    Я работаю директором по цифровой трансформации. И каждый раз, когда собираю бюджет, вижу одну и ту же картину: на ИТ денег мало, на ИБ — ещё меньше. При этом требования растут, угрозы множатся, а формулировка от бизнеса : «сделай так, чтобы работало удобно, из любого места и без пароля желательно, ну и не ломалось». Как и многие я ищу идеальную формулу: минимум вложений → максимум защиты . Не «купить всё и сразу», не «внедрить SOC за 10 миллионов в год», а именно базовую базу по ИТ и ИБ, которая закрывает 80% рисков и не требует армии сотрудников для ее поддержания. Эта статья — про то, как за разумные деньги выстроить защиту основывая на собственных ошибках и опыте. С цифрами, с инструментами, с калькулятором. ИБ‑гигиена — это не SOC, не «киберщит» и не магический короб. Это несколько приземлённых вещей: MFA, антивирус, бэкапы, ролевая модель и обучение людей. Всё это стоит сильно дешевле одного серьёзного инцидента.

    habr.com/ru/articles/1016598/

    #soc #infosec #information_security #vm #vulnerability #vulnerability_management #mfa #iam #rbac #idm

    #idm #rbac #iam #mfa #vulnerability_management #vulnerability
  19. Julien Garderon @[email protected] ·

    SSH-Frontière — login shell SSH restreint en #Rust 🦀

    Je publie un applicatif en Rust, pour du contrôle déclaratif fin des accès #SSH pour comptes de service (CI/CD, agents #IA, scripts). Parseur grammatical, #RBAC, zero unsafe, 540+ tests.

    La licence européenne est EUPL-1.2, donc open source ! 🇪🇺

    🧵

    #rust #ssh #ia #rbac
  20. Habr @[email protected] ·

    STAC — знакомство: Браузеры, API и управление доступом к пространственным данным (часть 3)

    В первых двух статьях мы разобрали основы спецификации STAC (SpatioTemporal Asset Catalog), её объектную модель и философию, превращающую разрозненные архивы геоданных в единую, машиночитаемую «библиотеку». Мы увидели, как STAC описывает каталоги (catalog), коллекции (collection), элементы (item) и их ресурсы (assets), создавая универсальный язык для работы с геопространственной информацией. В комментариях были затронуты две темы, которые просили рассмотреть в новых статьях — семантическая паутина и универсальные браузеры, которые требуют постепенного перехода от теории к практике. Действительно, какая польза от идеально структурированного каталога, если с ним неудобно или невозможно работать? Поэтому, прежде чем углубиться в онтологии, мы рассмотрим инструменты взаимодействия с STAC. Эта статья посвящена клиентской стороне экосистемы — STAC-браузерам, а также ключевому аспекту их работы в корпоративной среде — безопасному доступу к данным через STAC-API. Мы разберём, как устроен универсальный браузер, и представим нашу реализацию стека STAC-сервера с распределённой системой управления доступом IAM (Identity and Access Management), где каждый запрос, от просмотра метаданных до скачивания тайла, проходит через цепочку авторизации.

    habr.com/ru/articles/1009110/

    #STAC #GeoJSON #item #catalog #collection #GeoTIFF #assets #IAM #ABAC #RBAC

    #rbac #abac #iam #assets #geotiff #collection
  21. Habr @[email protected] ·

    Безопасность Kubernetes: полный гайд для начинающих или как не повторить ошибку Tesla

    Kubernetes взламывают не «эксплойтом века», а банальностями: открытый доступ, cluster-admin «на время», default serviceAccount, секреты в манифестах (да, base64 не защита). Дальше сценарий предсказуемый — от тихого майнинга до утечки ключей, как в истории с Tesla. В статье разберу три базовых опоры k8s-безопасности: минимизация прав через RBAC, нормальная работа с секретами и изоляция workload’ов через securityContext и политики — с типовыми ошибками и практиками, которые реально внедрить.

    habr.com/ru/companies/otus/art

    #kubernetes #безопасность #devsecops #rbac #секреты #pod_security #checkov #kyverno

    #kyverno #checkov #pod_security #секреты #rbac #devsecops
  22. Habr @[email protected] ·

    Побойтесь ДевОпса сударь…

    Как-то, у нашей компании накопился ряд задач, связанных с администрированием наших серверов, и руководство приняло решение, что всё-таки нам нужен DevOps, который закроет наши вопросы и будет в долгую сопровождать нашу команду. Решились. Разместили на hh.ru/ вакансию. Нашли человека в городе М.. Руководству было важно, чтобы он был с того же города, где и компания. Но мы никак не могли предположить, что этот человек, который проработал с нами буквально 6 месяцев, чуть не потопил всю нашу компанию. Но, обо всём по порядку.

    habr.com/ru/articles/977526/

    #девопс #devops #proxmox #администрирование_серверов #инциденты #человеческий_фактор #внутренние_угрозы #резервное_копирование #rbac #iam

    #iam #rbac #резервное_копирование #внутренние_угрозы #человеческий_фактор #инциденты
  23. Reddit Tech VN Bot @[email protected] ·

    Tác giả đang xây dựng hệ thống backend Go cho B2B với RBAC & RAG tích hợp sẵn, có thể mở nguồn? Bao gồm xác thực doanh nghiệp, ống AI (OCR, Embedding, RAG), và kiến trúc chuẩn cho AI Generated Code. Feedback nếu bạn cần kit B2B hàng đầu!

    #B2B #GoLang #AI #RBAC #StarterKit #MastodonDev #CôngNghệ #PhátTriểnPhầnMềm

    reddit.com/r/SaaS/comments/1ph

    #b2b #golang #ai #rbac #starterkit #mastodondev
  24. Habr @[email protected] ·

    Полное руководство по управлению привилегиями в StarRocks

    Статья — практическое руководство по управлению привилегиями в StarRocks: объектная модель (SYSTEM, CATALOG, DATABASE, TABLE, VIEW, MATERIALIZED VIEW, FUNCTION и др.), перечень привилегий для каждого типа сущности и соответствующие операции. Разбираем роль‑based доступ (RBAC): встроенные роли (root, cluster_admin, db_admin, user_admin, public), создание собственных ролей и выдачу прав через GRANT/REVOKE с наглядными SQL‑примерами. Отдельный блок — особенности StarRocks: ограничение ресурсов на пользователя (max_user_connections), роли по умолчанию и их активация при входе, массовая выдача прав через public, выполнение от имени другого пользователя (IMPERSONATE/EXECUTE AS). Материал полезен инженерам данных, DBA и разработчикам, работающим с OLAP/MPP‑СУБД и хранилищами данных, а также тем, кто внедряет контроль доступа в аналитических кластерах. Дополнительно освещены создание пользователей с разными методами аутентификации (включая LDAP), управление RESOURCE/RESOURCE GROUP, GLOBAL FUNCTION и STORAGE VOLUME, а также практики безопасной раздачи прав по ролям.

    habr.com/ru/articles/967608/

    #starrocks #привилегии #роли #rbac #grant #revoke #olap #mpp #dwh #безопасность_данных

    #starrocks #привилегии #роли #rbac #grant #revoke
  25. Habr @[email protected] ·

    Пакет управления доступом на основе ролей (RBAC) для PHP

    Потребовалось мне сделать свою реализацию проверки прав для PHP. В итоге эта разработка стала отдельным пакетом . Возможно кому-то пригодится. В статье рассказываю как это работает.

    habr.com/ru/articles/963246/

    #php #rbac #разрешения #webразработка

    #php #rbac #разрешения #webразработка
  26. Kevin Veen-Birkenbach @[email protected] ·

    Ein Stack, der zusammenarbeitet: Warum Infinito.Nexus mehr ist als SaaS

    In der heutigen IT-Landschaft bieten nahezu alle großen Hoster eine Vielzahl an Tools und Diensten an: von Web-Apps über Datenbanken bis hin zu kompletten Entwicklungsumgebungen. Auf den ersten Blick scheint es, als könne man mit ein paar Klicks alles selbst zusammenstellen. Doch wer versucht hat, diese einzelnen Komponenten sicher, integriert und wartbar zu verbinden, weiß: Das ist leichter gesagt als getan. […]

    blog.infinito.nexus/blog/2025/

    #ansible #automation #cloud #datenschutz #devops #digitalesouveranitat
  27. Habr @[email protected] ·

    RBACX — универсальный RBAC/ABAC-движок авторизации для Python

    RBACX — авторизация без боли в Python-проектах Когда доступ «размазан» по вьюхам и миддлварам, ревью и тесты превращаются в квест - появляется мотивация все это унифицировать. Я написал RBACX — лёгкий движок, где правила описываются декларативно (JSON/YAML), а проверка прав — это один понятный вызов. В статье показываю, как собрать из него аккуратный PDP для микросервисов и монолитов. Я последние два года пишу бэкенд в стартапе MindUp — это мой первый пост на Хабре, и первая библиотека. Буду рад вопросам и критике. Если тема авторизации болит так же, как у меня, загляните!

    habr.com/ru/articles/950080/

    #python #rbacx #RBAC #ABAC #fastapi #authorization #django #flask #litestar #accesscontrol

    #python #rbacx #rbac #abac #fastapi #authorization
  28. Kevin Veen-Birkenbach @[email protected] ·

    Infinito.Nexus: Die Zukunft von SSO & IAM für Unternehmen und Communities

    Die digitale Welt wird immer komplexer. Unternehmen, Organisationen und Communities nutzen heute eine Vielzahl an Anwendungen – von Projektmanagement-Tools über Cloud-Speicher bis hin zu sozialen Plattformen. Damit steigt die Herausforderung, Identitäten, Rechte und Zugriffe effizient, sicher und benutzerfreundlich zu verwalten. Genau hier setzt Infinito.Nexus an: mit einer einzigartigen Kombination aus Single Sign-On (SSO) und Identity & Access Management (IAM), die weit über klassische Enterprise-Lösungen hinausgeht. […]

    blog.infinito.nexus/blog/2025/

    #activedirectoryintegration #authentifizierung #autorisierung #benutzerverwaltung #cloudunabhangigkeit #communityit
  29. Habr @[email protected] ·

    «Я не вижу эту кнопку!» — «Потому что ты не избранный, Нео»

    Привет, Хабр! Писать статьи — дело приятное, но только если нет на плечах релиза. Релиз оказался марафоном на месяцы, где каждый день мы жили задачами и доработками. Мы делились на три фронта: кто-то закрывал критические баги («баг-фиксеры»), кто-то добивал бизнес-логику («бизнес-логеры»), а кто-то всерьез отрабатывал план «Б» — ставил свечи за успешный релиз («молитвенники за прод»). Играли мы на разных уровнях, но финальный босс у всех был один: система, которую мы героически толкали в ПРОД, как кота в переноску: и он не хочет, и нам страшно. Но как бы там ни было, сегодня на ПРОДе живет большая система. Прям такая, что, если бы она была организмом, у нее были бы печень, почки и амбулаторная карта в Сфере Знания. Пользователи — сотни сотрудников. Система — новая, кнопки — непонятные, интерфейс — как квартира после переезда: ты вроде дома, но даже чайник включить страшно. И вот представьте: в этой «квартире» все двери распахнуты настежь. Любой может зайти куда угодно, нажать любую кнопку, открыть любой экран. Кнопки, которые лучше не трогать, экраны, куда и разработчик-то без инструктажа не сунется… Получился цифровой «чулан Моники» — хаос, который мы срочно должны были привести в порядок. Решение было очевидным: нужна ролевая модель. По плану ролевую модель — разграничение видимости интерфейсов и данных на стороне БД — мы должны были выкатить через пару недель после запуска. Но в мире, где перечень техдолгов меняется быстрее, чем погода в Калининграде, пришлось действовать иначе. В итоге, бочком-бочком, мы затолкали ее в боевой релиз буквально на финишной прямой.

    habr.com/ru/articles/944870/

    #ролевая_модель #rbac #разграничение_доступа #системный_анализ #права_доступа #permission #sql #api #access_control #корпоративные_системы

    #ролевая_модель #rbac #разграничение_доступа #системный_анализ #права_доступа #permission
  30. Markus Eisele @[email protected] ·

    Beyond @RolesAllowed: Fine-Grained RBAC in Quarkus. Secure every document with per-object permissions, JWT identity, and a lean 100-line service.
    the-main-thread.com/p/quarkus-
    #Java #Security #Quarkus #RBAC #JWT

    #java #security #quarkus #rbac #jwt
  31. Habr @[email protected] ·

    Column Level Security (CLS) в Apache Superset. Jinja + Handlebars

    🔒 Column Level Security (CLS) в Apache Superset: защита данных на уровне столбцов Узнайте, как гибко ограничивать доступ к конфиденциальным данным с помощью Jinja и Handlebars. Практические примеры и готовые решения для ваших дашбордов.

    habr.com/ru/articles/932184/

    #superset #jinja #handlebars #apache #cls #rls #rbac

    #superset #jinja #handlebars #apache #cls #rls
  32. Habr @[email protected] ·

    Мультитенантность в Kubernetes: возможные подходы и инструменты

    Хабр, привет! Меня зовут Алиса, и я руковожу командой разработки контейнерной платформы «Штурвал». В последнее время мы с командой много работали над реализацией мультитенантности и перепробовали множество разных вариантов. Ниже я расскажу, как тенанты помогают закрыть «боли» при работе с K8s на примере трех проблем и поделюсь полезными инструментами. Эта статья будет интересна тем, кто: 👉 «с ноги» врывается в свой первый кубер; 👉 самостоятельно строит Kubernetes-платформу; 👉 управляет одним или множеством кластеров K8s. P. S. 31 июля в Москве состоится первая независимая конфа Kubernetes Community Day. Два пространства с хардкорными докладами и воркшопами от крутых экспертов из VK, МКБ, Yandex Cloud, «Лаборатории Числитель», ecom.tеch, Cloud ru, Luntry, FUN&SUN, Lamoda Tech и др. Участие бесплатное.

    habr.com/ru/companies/chislite

    #мультитенантность #тенанты #kubernetes #иерархия #rbac #штурвал #k8s #неймспейсы #кластеры #контейнеризация

    #мультитенантность #тенанты #kubernetes #иерархия #rbac #штурвал
  33. Habr @[email protected] ·

    ABAC в микросервисах: сложная матрешка прав, простой API и никакой потери производительности

    Внедрение атрибутивной модели доступа (ABAC) в крупной корпоративной системе на микросервисах — это всегда испытание для архитекторов, разработчиков и бизнес-аналитиков. ABAC — одна из самых сложных областей IAM (Identity and Access Management) в корпоративных платформах, и даже простая модель может сломать мозг и пользователям, и инженерам. Рассказываю, как я реализовал масштабируемую систему с миллионами сущностей без потери производительности и сохранили простоту API для конечного разработчика.

    habr.com/ru/articles/925612/

    #abac #rbac #enterprise #права_доступа #архитектура #архитектура_системы

    #abac #rbac #enterprise #права_доступа #архитектура #архитектура_системы
  34. Paul A. Jones, Jr. @[email protected] ·

    Didn’t feel 100% today, but still made strides:

    🔐 Permissions table ✅
    🔗 Role-permission join ✅
    🌱 Auto-seed statute privileges ✅
    🧪 Unit tests added

    Even light days build the foundation.
    #IndieDev #SaaS #LegalTech #RBAC #DotNet #SideProject

    #indiedev #saas #legaltech #rbac #dotnet #sideproject
  35. Stephan H. Wissel @[email protected] ·

    The trouble with #RBAC is that you are at the mercy of your #IdP operator. They might and probably will have different priorities and goals. #java #quarkus

    #rbac #idp #java #quarkus
  36. Seth Grover @[email protected] ·
    CW: Release notes for v25.06.0 of Malcolm, a powerful, easily deployable network traffic analysis tool suite for network security monitoring

    Malcolm v25.06.0 includes a some new and oft-requested features, bug fixes, and component version bumps.

    Compare v25.05.0 to v25.06.0

    NOTE: As this Malcolm release enables the OpenSearch Security Plugin as described below, even inter-container access to OpenSearch must now be authenticated when using Malcolm's embedded OpenSearch instance. To accomplish this, an internal-use-only account and password is used for connecting to OpenSearch by Malcolm's other components as needed. This credential (saved in .opensearch.primary.curlrc in the Malcolm installation directory) needs to be generated before Malcolm starts up the first time after upgrading. To do so, please run ./scripts/auth_setup and select (Re)generate internal passwords for local primary OpenSearch instance. This credential is only used internally for OpenSearch and cannot be used to remotely access Malcolm.

    • ✨ Features and enhancements
      • This release adds role-based access control (RBAC) to Malcolm (cisagov/Malcolm#460).
        • Malcolm's RBAC feature is based on Keycloak realm roles and is implemented in to layers:
          1. Whenever possible, Malcolm's backend Keycloak realm roles are mapped to the roles/groups/permissions features provided by the components that make up Malcolm (see release notes for details)
          2. For other Malcolm components that don't implement their own permission management systems, Malcolm handles the enforcement roles based on request URIs in its NGINX proxy layer.
        • This is an optional feature. RBAC is only available when the authentication method is keycloak or keycloak_remote. With other authentication methods such as HTTP basic or LDAP, or when RBAC is disabled, all Malcolm users effectively have administrator privileges.
        • Because the OpenSearch Security Plugin requires TLS even internally, Malcolm's internal connections to the embedded OpenSearch instance, when used, are now all performed over HTTPS. However, this is all handled internally and should not behave or appear different to the user than it did in previous versions.
        • See the role-based access control documentation for more information on this feature.
      • Malcolm's embedded KeyCloak instance now automatically creates and configures the default client by ID, if specified in ./config/keycloak.env.
      • Allow user to specify subnet filters for NetBox autopopulation (cisagov/Malcolm#634)
        • This feature is especially useful for excluding dynamic address ranges such as those used by DHCP, which should generally not trigger autopopulation in NetBox. Since these addresses can change frequently and aren't tied to specific devices, including them could result in inaccurate or noisy inventory data. By fine-tuning which private subnets are included or excluded, users can ensure that only meaningful, typically static assignments are autopopulated.
      • Expose init arguments for Arkime's db.pl and also use them for Malcolm's creation of its own index templates (cisagov/Malcolm#692)
      • Extend Zeek's intel.log with additional fields using corelight/ExtendIntel (part 1) (cisagov/Malcolm#502)
        • This integrates the corelight/ExtendIntel plugin into Malcolm internally but does not significantly change how Malcolm presents intel.log to the user. Further work to do so will be continued in cisagov/Malcolm#695.
      • Some internal tweaks to the PCAP processing pipeline that are going to be leveraged by the Malcolm-Helm project (idaholab/Malcolm#630)
      • Handle a fix in the ICSNPP OPCUA-Binary plugin that adds a new sec_token_id field (cisagov/icsnpp-opcua-binary#101)
      • Moved the configuration for Zeek's use of the zeek-kafka plugin to its own file (kafka.zeek) to make it easier to override in Docker using a volume bind mount or in K8s using a configMap.
      • Changed some internal objects used for NetBox enrichment caching from Ruby's Concurrent::Hash to Concurrent::Map for better performance
      • Minor improvements to the icons, shortcuts, and convenience bash functions in the ISO-installed Malcolm desktop environment
      • NGINX now generates a robots.txt file to avoid web crawlers
    • ✅ Component version updates
    • 🐛 Bug fixes
      • NetBox autodiscovery no longer populating host name from DNS, DHCP, NTLM (regression, cisagov/Malcolm#699)
      • documentation served at /readme is trying to pull fonts from use.fontawesome.com (cisagov/Malcolm#694)
      • support fractional gigabytes correctly when generating Arkime's config.ini setting maxFileSizeG from PCAP_ROTATE_MEGABYTES
      • Improved logstash filters that calculate unique hashes used as document IDs for Zeek and Suricata logs to better prevent duplicate logs from being written to the document store
    • 🧹 Code and project maintenance
      • Tweaked some code comments and documentation to bring the cisagov and idaholab repos into harmony.
      • Documentation improvements
      • Removed some unused files and outdated comments

    Malcolm is a powerful, easily deployable network 🖧 traffic analysis tool suite for network security monitoring 🕵🏻‍♀️.

    Malcolm operates as a cluster of containers 📦, isolated sandboxes which each serve a dedicated function of the system. This makes Malcolm deployable with frameworks like Docker 🐋, Podman 🦭, and Kubernetes ⎈. Check out the Quick Start guide for examples on how to get up and running.

    Alternatively, dedicated official ISO installer images 💿 for Malcolm and Hedgehog Linux 🦔 can be downloaded from Malcolm's releases page on GitHub. Due to limits on individual files in GitHub releases, these ISO files have been split 🪓 into 2GB chunks and can be reassembled with scripts provided for both Bash 🐧 (release_cleaver.sh) and PowerShell 🪟 (release_cleaver.ps1). See Downloading Malcolm - Installer ISOs for instructions.

    As always, join us on the Malcolm discussions board 💬 to engage with the community, or pop some corn 🍿 and watch a video 📼.

    #Malcolm #HedgehogLinux #rbac #Zeek #Arkime #NetBox #OpenSearch #Elasticsearch #Suricata #PCAP #NetworkTrafficAnalysis #networksecuritymonitoring #OT #ICS #icssecurity #CyberSecurity #Cyber #Infosec #INL #DHS #CISA #CISAgov

    #malcolm #hedgehoglinux #rbac #zeek #arkime #netbox
  37. N-gated Hacker News @[email protected] ·

    GitHub's latest buzzword soup—'Gatehouse'—mixes #RBAC, #ABAC, and #ReBAC into a Rusty casserole of confusion 🍲🔧. Promising async-friendly code like a vitamin commercial promises eternal youth, but only time will tell if it’s a miracle or just another overhyped tech smoothie 🥤🤖.
    github.com/thepartly/gatehouse #GitHub #Gatehouse #Rust #HackerNews #ngated

    #rbac #abac #rebac #github #gatehouse #rust
  38. Habr @[email protected] ·

    Декларативная платформа управления доступом: от ролей к динамическим политикам

    Зачем нужна авторизация, какие проблемы она решает и в каких ситуациях будет полезна? Рассмотрим модели организации контроля доступа и способы их реализации. Привет, Хабр! Меня зовут Олег Козырев. Senior Golang инженер в BigTech-компании, ментор и блогер. Обучаю людей backend-разработке и консультирую по вопросам IT. А главным героем этой статьи по мотивам моего доклада для GolangConf будет мой кот. Он проведёт нас по тернистому пути создания платформы контроля доступами.

    habr.com/ru/companies/oleg-bun

    #идентификация #аутентификация #авторизация #golang #rbac #abac #права_доступа #acl #rego #dsl

    #идентификация #аутентификация #авторизация #golang #rbac #abac
  39. Habr @[email protected] ·

    Как масштабировать права в проекте и продуктах без боли

    Всем привет! Меня зовут Константин, я инженер-программист в Контуре. Пару лет назад мне довелось поработать над задачей разделения прав доступа в проекте Реестро (7 продуктов, более 100 микросервисов). Расскажу о том, как мы подходили к моделированию авторизации на этапе стартапа и какие процессы авторизации использовали. Затрону проблемы и потребности наших продуктов, которые привели к рождению нового подхода к управлению правами доступа. Опишу, как анализировал различные решения для проверки прав доступа, и завершу тем, какое решение у нас получилось, а также как мы решили проблемы, связанные с ростом количества сценариев и расширения в ширину.

    habr.com/ru/companies/skbkontu

    #kotlin #abac #rbac #права_доступа #права_пользователя

    #kotlin #abac #rbac #права_доступа #права_пользователя
  40. Habr @[email protected] ·

    Разбираем магических зверей безопасности: AuthZ: abac/rbac, AuthN и 2FA

    Вы знаете, что меня действительно выбивает из колеи забавит? Даже люди, которые давно работают в IT, путают аутентификацию и авторизацию. На пару проектах я столкнулся с тем, что некоторые ребята, которые работают в индустрии годами, не видят разницы между этими двумя понятиями. И это не просто “я офигеваю” озадачивает – это может быть опасно для безопасности систем, так как из за ложного определения мысли производят совсем не однозначные выводы. Ну так гоу погружаться в этот мир деталей!

    habr.com/ru/articles/821587/

    #аутентификация #авторизация #ролевая_модель #rbac #abac

    #abac #rbac #ролевая_модель #авторизация #аутентификация
  41. Nicolas Fränkel 🇪🇺🇺🇦🇬🇪 @[email protected] ·

    What is #GoogleZanzibar?

    permit.io/blog/what-is-google-

    #permissions #RBAC #ABAC

    #googlezanzibar #permissions #rbac #abac
  42. Habr @[email protected] ·

    Разработка и применение систем разграничения доступа на базе атрибутов

    Привет! Меня зовут Михаил, в Positive Technologies я руковожу бэкенд-разработкой метапродукта MaxPatrol O2. В этой статье я расскажу, зачем нам в компании понадобилось разграничение доступа на основе атрибутов. Его еще называют ABAC (attribute-based access control). Рассмотрим, чем ABAC отличается от других способов разграничения доступа, как это реализуется и что мы в итоге сделали у себя. Читать

    habr.com/ru/companies/pt/artic

    #net #abac #xacml #rbac #разграничение_доступа #авторизация #policy #система_контроля_доступа #alfa

    #alfa #система_контроля_доступа #policy #авторизация #разграничение_доступа #rbac
  43. Habr @[email protected] ·

    Какую модель информационной безопасности выбрать?

    Разграничение доступа к ресурсам системы - это важная часть информационной безопасности и управления доступом в компьютерных системах. Эта курсовая работа рассматривает методы и принципы разграничения доступа на уровне ресурсов и на уровне пользователей. Изучим различные аспекты этой проблемы, включая аутентификацию, авторизацию, политики безопасности, механизмы контроля доступа и применение этих методов в практических сценариях. Актуальность данной темы обусловлена тем, что в корпоративных структурах всегда существует высокий риск утечки данных. Внутренние инциденты особенно часто происходят из-за сумбурности в вопросах доступа. В частности, риск повышается, если у сотрудников есть избыточные права. Поэтому необходимо разграничивать доступ.

    habr.com/ru/articles/781096/

    #MAC #DAC #ABAC #rbac

    #rbac #abac #dac #mac
  44. Kingsley Uyi Idehen @[email protected] ·

    @reiver How do you explain kingsley.idehen.net/DAV/home/k then?

    That's an #HTTP-based filesytem (built circa 2000, and still running) that also supports #WebDAV and the more recent #LDP protocol.

    I can perform operations recursively just as I would a #Unix, #Linux, #macOS, or #Windows filesystem. It also includes both Role-Based Access Controls (#RBAC) and the more powerful fine-grained Attribute-Based Access Controls (#ABAC) 😀

    #ODSBriefcase #DataSpaces #SemanticWeb #Web30

    #http #webdav #ldp #unix #linux #macos
  45. bertrand 🏃 👨‍💻 🎸 @[email protected] ·

    @jrefior RBAC is easier for most organisations yet there's quickly the risk of role combinatorial explosion and then it falls short.

    ABAC is interesting when data quality is *really* understood as a key prerequisite and actually correctly measured and enforced.

    #rbac #abac

    #rbac #abac
  46. John Refior @[email protected] ·

    So what do you think, role-based access control or attribute-based access control?
    #RBAC #ABAC

    #rbac #abac
  47. Greg Swift @[email protected] ·

    Say you run into the normal problems with groups:

    1: Org restructuring has left groups in a constant mess
    2: Groups are overloaded in who is in them and what access they provide
    3: Groups are non-sensical and aren't following a pattern
    4: Really want to get closer to #ZeroStandingPermissions (#ZSP) or #RoleBasedAccessControl (#RBAC)

    #zerostandingpermissions #zsp #rolebasedaccesscontrol #rbac
  48. Greg Swift @[email protected] ·

    Say you run into the normal problems with groups:

    1: Org restructuring has left groups in a constant mess
    2: Groups are overloaded in who is in them and what access they provide
    3: Groups are non-sensical and aren't following a pattern
    4: Really want to get closer to #ZeroStandingPermissions (#ZSP) or #RoleBasedAccessControl (#RBAC)

    #zerostandingpermissions #zsp #rolebasedaccesscontrol #rbac
  49. Greg Swift @gregswift ·

    Say you run into the normal problems with groups:

    1: Org restructuring has left groups in a constant mess
    2: Groups are overloaded in who is in them and what access they provide
    3: Groups are non-sensical and aren't following a pattern
    4: Really want to get closer to () or ()

    #zerostandingpermissions #zsp #rolebasedaccesscontrol #rbac
  50. Greg Swift @[email protected] ·

    Say you run into the normal problems with groups:

    1: Org restructuring has left groups in a constant mess
    2: Groups are overloaded in who is in them and what access they provide
    3: Groups are non-sensical and aren't following a pattern
    4: Really want to get closer to #ZeroStandingPermissions (#ZSP) or #RoleBasedAccessControl (#RBAC)

    #rbac #rolebasedaccesscontrol #zsp #zerostandingpermissions