Dans certaines circonstances, certains privilèges de base peuvent être retirés du jeu de base d'un utilisateur standard ou invité. Par exemple, les utilisateurs de Sun Ray peuvent ne pas être autorisés à consulter l'état de processus qui ne sont pas en leur possession.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Les trois privilèges de base suivants sont susceptibles d'être supprimés.
% ppriv -lv basic file_link_any Allows a process to create hardlinks to files owned by a uid different from the process' effective uid. ... proc_info Allows a process to examine the status of processes other than those it can send signals to. Processes which cannot be examined cannot be seen in /proc and appear not to exist. proc_session Allows a process to send signals or trace processes outside its session. ...
Tout utilisateur tentant d'utiliser le système ne peut obtenir ces privilèges. L'application de cette méthode de suppression des privilèges peut s'avérer appropriée sur un ordinateur mis à la disposition du public.
# pfedit /etc/security/policy.conf ... #PRIV_DEFAULT=basic PRIV_DEFAULT=basic,!file_link_any,!proc_info,!proc_session
# usermod -K 'defaultpriv=basic,!file_link_any' user
# usermod -K 'defaultpriv=basic,!proc_info' user
# usermod -K 'defaultpriv=basic,!proc_session' user
# usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user
Cette protection s'applique à n'importe quel utilisateur ou système auquel vous assignez ce profil de droits.
# profiles -p shared-profile -S ldap shared-profile: set defaultpriv=basic,!file_link_any,!proc_info,!proc_session ...
Pour plus d'informations sur la création de profils de droits, reportez-vous à la section La création des profils de droits et autorisations du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
En guise de solution évolutive, vous pouvez définir cette valeur dans un profil de droits si un grand nombre d'utilisateurs (tels que des utilisateurs de Sun Ray ou distants) partagent un même profil.
# usermod -P shared-profile username
Vous pouvez également assigner le profil par système dans le fichier policy.conf.
# pfedit /etc/security/policy.conf ... #PROFS_GRANTED=Basic Solaris User PROFS_GRANTED=shared-profile,Basic Solaris User
Voir aussi
Pour plus d'informations, reportez-vous au Chapitre 1, A propos de l’utilisation de droits pour contrôle Users and Processes du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 , ainsi qu'à la page de manuel privileges(5).