La siguiente información describe el funcionamiento de los roles, los derechos, los privilegios y las autorizaciones en Oracle Solaris 11:
Asignación y delegación de autorizaciones: Oracle Solaris proporciona autorizaciones para delegar derechos administrativos específicos a roles y usuarios individuales a fin de implementar la separación de tareas. En Oracle Solaris 10, las autorizaciones que terminan en .grant tienen que delegar una autorización a otro usuario. A partir de Oracle Solaris 11, se usan dos nuevos sufijos: .assign y .delegate. Por ejemplo, solaris.profile.assign y solaris.profile.delegate. El primero concede el derecho de delegar cualquier perfil de derechos a cualquier usuario o rol. El último es más restrictivo, ya que sólo se pueden delegar los perfiles de derechos que ya estén asignados al usuario actual. Como al rol root se le asigna solaris.*, este rol puede asignar cualquier autorización a cualquier usuario o rol. Como medida de seguridad, no se incluye ninguna autorización que termine en .assign de manera predeterminada.
Cambios en el comando groupadd: en la creación de grupos, el sistema asigna la autorización solaris.group.assign/groupname al administrador. Esta autorización permite que el administrador tenga un control absoluto sobre ese grupo, de modo que puede modificar o suprimir groupname si es necesario. Consulte las páginas del comando man groupadd(1M) y groupmod(1M).
Perfil de derechos Media Restore: este perfil de derechos y conjunto de autorizaciones puede escalar los privilegios de una cuenta que no sea root. El perfil ya existe, pero no es parte de ningún otro perfil de derechos. Debido a que el perfil de derechos Media Restore proporciona acceso a todo el sistema de archivos raíz, su uso constituye una posible escalada de privilegios. Se podrían restaurar medios alternativos o archivos modificados deliberadamente. De manera predeterminada, el rol root incluye este perfil de derechos.
Eliminación del perfil de administrador principal: al usuario inicial que se crea en el momento de la instalación se le otorgan los siguientes roles y derechos:
Rol root
Perfil de derechos System Administrator
Acceso al comando sudo para todos los comandos que se ejecutan como root
Autenticación de roles: puede especificar user o role para la palabra clave roleauth.
Puede determinar qué contraseña se ha asignado al rol root de la siguiente manera:
# userattr roleauth root
Ninguna salida implica que la cuenta root no se ha personalizado, lo que implica que la contraseña es la predeterminada de Oracle Solaris y no la contraseña del usuario.
Consulte user_attr(4).
Root como rol: root es un rol predeterminado en Oracle Solaris 11. Por lo tanto, no es anónimo y no puede iniciar sesión de manera remota en un sistema. Para obtener más información sobre cómo pasar de rol root a usuario, consulte Cómo cambiar el rol root a un usuario de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Entre los privilegios básicos de Oracle Solaris, se incluyen los siguientes:
file_read
file_write
net_access
Versiones de shell de perfil de shells comunes: todos los shells comunes tienen su propia versión de perfil en Oracle Solaris 11. Los siguientes shells de perfiles están disponibles:
pfbash
pfcsh
pfksh
pfksh93
pfrksh93
pfsh
pftcsh
pfzsh
Consulte pfexec(1).
Perfiles de derechos: ahora, las bases de datos user_attr, prof_attr y exec_attr son de sólo lectura. Estas bases de datos de archivos locales se ensamblan a partir de fragmentos que se encuentran en /etc/user_attr.d, /etc/security/prof_attr.d y /etc/security/exec_attr.d. Los archivos de fragmentos no se combinan en una única versión del archivo, sino que se dejan como fragmentos. Este cambio permite que los paquetes otorguen perfiles de derechos parciales o completos. Las entradas que se agregan al repositorio de archivos locales con los comandos useradd y profiles se agregan al archivo local-entries en el directorio de fragmentos. Para agregar o modificar un perfil, utilice el comando profiles. Consulte Acerca de los perfiles de derechos.
Perfil de derechos Stop: este perfil permite a los administradores crear cuentas restringidas. Consulte Más información sobre los perfiles de derechos de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Comando pfsh script: este comando ahora se ejecuta del mismo modo que el comando pfsh –c script. Antes, los comandos dentro de una secuencia de comandos no podían aprovechar el uso de perfiles de derechos, a menos que la secuencia de comandos especificara un shell de perfil como primera línea. Esta regla requería la modificación de cualquier secuencia de comandos que utilizara perfiles de derechos, que ahora no es necesario porque el emisor de la secuencia de comandos (o un antecesor en la sesión) puede especificar un shell de perfil.
Comando pfexec: este comando ya no es setuid root. El nuevo atributo de proceso PF_PFEXEC se establece cuando se ejecuta el comando pfexec o un shell de perfil. A continuación, el núcleo establece los privilegios adecuados en exec. Esta implementación garantiza que los subshells tengan privilegios o restricciones, según corresponda.
Cuando el núcleo está procesando un exec (2) , el tratamiento de setuid para root es diferente. Tenga en cuenta que el setuid para cualquier otro uid o setgid está igual que antes. El núcleo busca una entrada en el perfil de derechos Forced Privilege en exec_attr (4) para determinar con qué privilegios debería ejecutarse el programa. En lugar de hacer que el programa se inicie con uid root y todos los privilegios, el programa se ejecuta con el uid actual y solamente los privilegios adicionales que el perfil de derechos de ejecución Forced Privilege ha asignado a ese nombre de ruta.