Visualización y uso de valores predeterminados de RBAC (tareas)

De manera predeterminada, se asignan derechos a los usuarios. Los derechos para todos los usuarios de un sistema se asignan en el archivo /etc/security/policy.conf.

Visualización y uso de valores predeterminados de RBAC (mapa de tareas)

En la instalación de Oracle Solaris, su sistema está configurado con derechos de usuario y derechos de proceso. Sin ninguna configuración adicional, utilice el siguiente mapa de tareas para visualizar y utilizar RBAC.

Cómo visualizar todos los atributos de seguridad definidos

Utilice los siguientes comandos para enumerar las autorizaciones, los perfiles, los derechos y los comandos con atributos de seguridad en el sistema. Para ver una lista de todos los privilegios definidos, consulte Cómo enumerar los privilegios en el sistema.

1. Enumere todas las autorizaciones.

   % getent auth_attr | more
   solaris.:::All Solaris Authorizations::help=AllSolAuthsHeader.html
   solaris.account.:::Account Management::help=AccountHeader.html
   ...
   solaris.zone.login:::Zone Login::help=ZoneLogin.html
   solaris.zone.manage:::Zone Deployment::help=ZoneManage.html

2. Enumere todos los perfiles de derechos.

   % getent prof_attr | more
   All:::Execute any command as the user or role:help=RtAll.html
   Audit Configuration:::Configure Solaris Audit:auths=solaris.smf.value.audit;
   help=RtAuditCfg.html
   ...
   Zone Management:::Zones Virtual Application Environment Administration:
   help=RtZoneMngmnt.html
   Zone Security:::Zones Virtual Application Environment Security:auths=solaris.zone.*,
   solaris.auth.delegate;help=RtZoneSecurity.html ...

3. Enumere todos los comandos con atributos de seguridad.

   % getent exec_attr | more
   All:solaris:cmd:::*:
   Audit Configuration:solaris:cmd:::/usr/sbin/auditconfig:privs=sys_audit
   ...
   Zone Security:solaris:cmd:::/usr/sbin/txzonemgr:uid=0
   Zone Security:solaris:cmd:::/usr/sbin/zonecfg:uid=0 ...

Cómo visualizar los derechos asignados

Utilice los siguientes comandos para ver las asignaciones de RBAC. Para ver todos los derechos que se pueden asignar, consulte Cómo visualizar todos los atributos de seguridad definidos.

1. Enumere las autorizaciones.

   % auths
   solaris.device.cdrw,solaris.device.mount.removable,solaris.mail.mailq

   Estas autorizaciones se asignan a todos los usuarios de manera predeterminada.

2. Enumere los perfiles de derechos.

   % profiles
   Basic Solaris User
   All

   Estos perfiles de derechos se asignan a todos los usuarios de manera predeterminada.

3. Enumere los roles asignados.

   % roles
   root

   Este rol se asigna al usuario inicial de manera predeterminada. No roles indica que no se le ha asignado un rol.

4. Enumere los privilegios en el shell predeterminado.

   % ppriv $$
   1234:    /bin/csh
   flags = <none>
       E: basic
       I: basic
       P: basic
       L: all

   A cada usuario se le asigna el conjunto de privilegios básico de manera predeterminada. El conjunto límite son todos los privilegios.

   % ppriv -vl basic
   file_link_any
           Allows a process to create hardlinks to files owned by a uid
           different from the process' effective uid.
   file_read
           Allows a process to read objects in the filesystem.
   file_write
           Allows a process to modify objects in the filesystem.
   net_access
           Allows a process to open a TCP, UDP, SDP or SCTP network endpoint.
   proc_exec
           Allows a process to call execve().
   proc_fork
           Allows a process to call fork1()/forkall()/vfork()
   proc_info
           Allows a process to examine the status of processes other
           than those it can send signals to.  Processes which cannot
           be examined cannot be seen in /proc and appear not to exist.
   proc_session
           Allows a process to send signals or trace processes outside its session.

5. Enumere los privilegios sobre comandos en sus perfiles de derechos.

   % profiles -l
     Basic Solaris User
      /usr/bin/cdda2wav.bin   privs=file_dac_read,sys_devices,
        proc_priocntl,net_privaddr
      /usr/bin/cdrecord.bin   privs=file_dac_read,sys_devices,
        proc_lock_memory,proc_priocntl,net_privaddr
      /usr/bin/readcd.bin     privs=file_dac_read,sys_devices,net_privaddr
     All
      * 

   Los perfiles de derechos de un usuario pueden incluir comandos que se ejecutan con privilegios particulares. El perfil de usuario básico de Solaris incluye los comandos que permiten a los usuarios leer y escribir en CD-ROM.

Ejemplo 9-1 Enumeración de autorizaciones de un usuario

% auths username
solaris.device.cdrw,solaris.device.mount.removable,solaris.mail.mailq

Ejemplo 9-2 Enumeración de los perfiles de derechos de un rol o un usuario

El siguiente comando muestra los perfiles de derechos de un usuario concreto.

% profiles jdoe
jdoe: 
          Basic Solaris User
          All

El siguiente comando muestra los perfiles de derechos del rol cryptomgt.

% profiles cryptomgt
cryptomgt:
          Crypto Management
          Basic Solaris User
          All

El siguiente comando muestra los perfiles de derechos del rol root:

% profiles root
root:
          All
          Console User
          Network Wifi Info
          Desktop Removable Media User
          Suspend To RAM
          Suspend To Disk
          Brightness
          CPU Power Management
          Network Autoconf User
          Basic Solaris User

Ejemplo 9-3 Enumeración de los roles asignados de un usuario

El siguiente comando muestra los roles asignados de un usuario concreto.

% roles jdoe
root

Ejemplo 9-4 Enumeración de los privilegios de un usuario sobre comandos específicos

El siguiente comando muestra los comandos con privilegios en los perfiles de derechos de un usuario normal.

% profiles -l jdoe
jdoe: 
  Basic Solaris User
   /usr/bin/cdda2wav.bin   privs=file_dac_read,sys_devices,
     proc_priocntl,net_privaddr
   /usr/bin/cdrecord.bin   privs=file_dac_read,sys_devices,
     proc_lock_memory,proc_priocntl,net_privaddr
   /usr/bin/readcd.bin     privs=file_dac_read,sys_devices,net_privaddr
  All
   * 

Cómo asumir un rol

Antes de empezar

Ya se debe tener asignado el rol. El servicio de nombres se debe actualizar con dicha información.

1. En una ventana de terminal, determine los roles que puede asumir.

   % roles
   Comma-separated list of role names is displayed

2. Utilice el comando su para asumir un rol.

   % su - rolename
   Password: <Type rolename password>
   $

   El comando su - nombre_rol cambia el shell a un shell de perfil para el rol. Un shell de perfil reconoce los atributos de seguridad, como autorizaciones, privilegios y bits de ID de conjunto.

3. (Opcional) Verifique si está ahora en un rol.

   $ /usr/bin/whoami
   rolename

   Ahora puede realizar tareas del rol en esta ventana de terminal.

4. (Opcional) Vea las capacidades de su rol.

   Para conocer el procedimiento, consulte Cómo visualizar los derechos asignados.

Ejemplo 9-5 Asunción del rol root

En el ejemplo siguiente, el usuario inicial asume el rol root y enumera los privilegios en el shell del rol.

% roles
root
% su - root
Password: <Type root password>
# Prompt changes to root prompt
# ppriv $$
1200:   pfksh
flags = <none>
        E: all
        I: basic
        P: all
        L: all

Para obtener información sobre los privilegios, consulte Privilegios (descripción general).

Cómo obtener derechos administrativos

Los derechos administrativos entran en vigor cuando se ejecuta el shell de un perfil. De manera predeterminada, se asigna un shell de perfil a una cuenta de rol. Los roles son cuentas especiales a las que se asignan derechos administrativos específicos, normalmente, para un conjunto relacionado de actividades administrativas, como la revisión de archivos de auditoría.

En el rol root, el usuario inicial tiene todos los derechos administrativos, es decir, el usuario inicial es superusuario. El rol root puede crear otros roles.

Antes de empezar

Para administrar el sistema, debe tener derechos que no se asignan a usuarios normales. Si no es superusuario, se le debe asignar un rol, un perfil de derechos administrativos o privilegios específicos o autorizaciones.

• Seleccione uno de los siguientes métodos para ejecutar los comandos administrativos.

  Abra una ventana de terminal.

  • Conviértase en usuario root.

    % su -
    Password: Type the root password
    #

    ---

    Nota - Este método funciona si root es un usuario o un rol. El signo de almohadilla (#) indica que ahora es un superusuario.

    ---

  • Asuma un rol que se le ha asignado.

    En el siguiente ejemplo, asuma un rol de gestión de red. Este rol incluye el perfil de derechos de gestión de red.

    % su - networkadmin
    Password: Type the networkadmin password
    $

    Ahora está en un shell de perfil. En este shell, puede ejecutar snoop, route, dladm y otros comandos. Para obtener más información sobre shells de perfiles, consulte Shells de perfil y RBAC.

    ---

    Consejo - Utilice los pasos en Cómo visualizar los derechos asignados para ver las capacidades de su rol.

    ---

  • Utilice el comando pfbash para crear un shell que se ejecute con derechos administrativos.

    Por ejemplo, la siguiente secuencia de comandos permite examinar los paquetes de red en el shell pfbash:

    % pfbash
    $ anoop

    Si no se le ha asignado el privilegio net_observability, el comando snoop falla con un mensaje de error similar al siguiente: snoop: cannot open "net0": Permission denied. Si se le asigna el privilegio directamente o mediante un perfil de derechos o un rol, este comando se ejecuta correctamente. También puede ejecutar comandos con privilegios adicionales en este shell.

  • Utilice el comando pfexec para crear un proceso que se ejecute con derechos administrativos.

    Ejecute el comando pfexec con el nombre de un comando con privilegios desde su perfil de derechos. Por ejemplo, el siguiente comando permite examinar los paquetes de red:

    % pfexec snoop

    Las mismas limitaciones de privilegios se aplican a pfexec y pfbash. Sin embargo, para ejecutar otro comando con privilegios, debe escribir pfexec de nuevo antes de escribir el comando con privilegios.

Ejemplo 9-6 Almacenamiento en la antememoria de la autenticación para facilitar el uso del rol

En este ejemplo, el administrador configura un rol para gestionar la red, pero proporciona facilidad de uso mediante el almacenamiento en la antememoria de la autenticación del usuario. En primer lugar, el administrador crea y asigna el rol.

# roleadd -K roleauth=user -P "Network Management" netmgt
# usermod -R +netmgt jdoe

Cuando jdoe utiliza la opción -c al cambiar al rol, se necesita una contraseña antes de que la salida de snoop se muestre:

% su - netmgt -c snoop options
Password:

snoop output

Si la autenticación no se almacena en la antememoria y jdoe ejecuta el comando de nuevo inmediatamente, una solicitud de contraseña aparece.

El administrador configura el archivo pam.conf para almacenar en la antememoria la autenticación, de modo que una contraseña se requiere inicialmente, pero no hasta que una determinada cantidad de tiempo ha pasado. El administrador coloca todas las pilas personalizadas pam.conf al final del archivo.

# vi /etc/pam.conf
...
#
## Cache authentication for switched user
#
su      auth required           pam_unix_cred.so.1
su      auth sufficient         pam_tty_tickets.so.1
su      auth requisite          pam_authtok_get.so.1
su      auth required           pam_dhkeys.so.1
su      auth required           pam_unix_auth.so.1

Después de crear las entradas, el administrador comprueba que no tengan errores ortográficos, omisiones ni repeticiones.

Se requiere toda la pila su. El módulo pam_tty_tickets.so.1 proporciona la antememoria. Para obtener más información sobre PAM, consulte la página del comando man pam.conf(4) y el Capítulo 15, Uso de PAM.

Después de que la pila PAM su se agrega al archivo pam.conf, el rol netmgt se solicita sólo una vez para una contraseña cuando se ejecuta una serie de comandos.

% su - netmgt -c snoop options
Password:

snoop output
% su - netmgt -c snoop options
snoop output
...