De manera predeterminada,root es un rol en Oracle Solaris. Tiene la opción para cambiarlo a un usuario, volver a cambiarlo a un rol, o eliminarlo del uso.
Debe cambiar root a un usuario si utiliza Oracle Enterprise Manager o si está siguiendo el modelo de superusuario tradicional de administración en lugar del modelo de derechos. Para obtener información, consulte Cómo decidir qué modelo de derechos utilizar para la administración.
Si sigue el modelo de derechos, se puede cambiar root a un usuario al retirar un sistema que se ha eliminado de la red. En esta situación, iniciar sesión en el sistema como root simplifica la limpieza.
En algunos sitios, root no es una cuenta legítima en los sistemas de producción. Para eliminar root de uso, consulte Example 5–13.
Este procedimiento es necesario en sistemas donderootdebe poder iniciar sesión directamente en el sistema.
Antes de empezar
Debe asumir el rol root.
Por ejemplo, elimine la asignación de rol de dos usuarios.
% su - Password: xxxxxxxx # roles jdoe root # roles kdoe root # roles ldoe secadmin # usermod -R "" jdoe # usermod -R "" kdoe #
# rolemod -K type=normal root
Los usuarios que están actualmente en el rol root lo siguen estando. Otros usuarios que tienen acceso de usuario root pueden cambiar su a root o pueden iniciar sesión en el sistema como el usuario root.
Puede utilizar uno de los siguientes comandos.
# getent user_attr root root::::auths=solaris.*;profiles=All;audit_flags=lo\:no;lock_after_retries=no; min_label=admin_low;clearance=admin_high
Si falta la palabra clave type en la salida o es igual a normal, la cuenta no es un rol.
# userattr type root
Si la salida está vacía o muestra normal, la cuenta no es un rol.
En este ejemplo, el usuario root devuelve al usuario root a un rol.
Primero, el usuario root cambia la cuenta root a un rol y verifica el cambio.
# usermod -K type=role root # getent user_attr root root::::type=role...
A continuación, root asigna el rol root a un usuario local.
# usermod -R root jdoeEjemplo 5-13 Impedir que el rol root se utilice para mantener un sistema
En este ejemplo, la política de seguridad del sitio requiere que se evite que la cuenta root mantenga el sistema. El administrador ha creado y probado los roles que mantienen el sistema. Estos roles incluyen cada perfil de seguridad y el perfil de derechos de administrador del sistema. Se ha asignado a un usuario de confianza un rol que puede restaurar una copia de seguridad. Ningún rol puede cambiar los indicadores de auditoría para un usuario, un rol o un perfil de derechos o cambiar la contraseña de un rol.
Para evitar que la cuenta root se utilice para mantener el sistema, el administrador de seguridad elimina la asignación del rol root. Debido a que la cuenta root debe poder iniciar sesión en el sistema en modo de un solo usuario, la cuenta retiene una contraseña.
# usermod -K roles= jdoe # userattr roles jdoe
Errores más frecuentes
En un entorno de escritorio, no puede iniciar sesión directamente como root cuando root es un rol. Un mensaje de diagnóstico indica que root es un rol en el sistema.
Si no tiene una cuenta local que pueda asumir el rol root realizando los pasos siguientes:
Como root, inicie sesión en el sistema en modo de un solo usuario, cree una cuenta de usuario local y la contraseña.
Asigne el rol root a la cuenta nueva.
Inicie sesión como el usuario nuevo y asuma el rol root.