In alcuni casi, alcuni privilegi di base possono essere rimossi da un set di base di un utente regolare o ospite. Ad esempio, è possibile che agli utenti di Sun Ray venga impedito di esaminare lo stato dei processi non di loro proprietà.
Prima di cominciare
È necessario utilizzare il ruolo root. Per ulteriori informazioni, vedere Using Your Assigned Administrative Rights in Securing Users and Processes in Oracle Solaris 11.2 .
I tre privilegi di base riportati di seguito sono probabili candidati per la rimozione.
% ppriv -lv basic file_link_any Allows a process to create hardlinks to files owned by a uid different from the process' effective uid. ... proc_info Allows a process to examine the status of processes other than those it can send signals to. Processes which cannot be examined cannot be seen in /proc and appear not to exist. proc_session Allows a process to send signals or trace processes outside its session. ...
Questi privilegi vengono negati a tutti gli utenti che tentano di utilizzare il sistema. Questo metodo di rimozione dei privilegi può essere appropriato per un computer disponibile pubblicamente.
# pfedit /etc/security/policy.conf ... #PRIV_DEFAULT=basic PRIV_DEFAULT=basic,!file_link_any,!proc_info,!proc_session
# usermod -K 'defaultpriv=basic,!file_link_any' user
# usermod -K 'defaultpriv=basic,!proc_info' user
# usermod -K 'defaultpriv=basic,!proc_session' user
# usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user
Questa protezione si applica a qualsiasi utente o sistema in cui si assegna questo profilo di diritti.
# profiles -p shared-profile -S ldap shared-profile: set defaultpriv=basic,!file_link_any,!proc_info,!proc_session ...
Per ulteriori informazioni sulla creazione dei profili di diritti, vedere Creating Rights Profiles and Authorizations in Securing Users and Processes in Oracle Solaris 11.2 .
In caso di più utenti che condividono un profilo di diritti, ad esempio Sun Ray o utenti remoti, l'impostazione di questo valore in un profilo può rappresentare una soluzione scalabile.
# usermod -P shared-profile username
È anche possibile assegnare il profilo in base al sistema nel file policy.conf.
# pfedit /etc/security/policy.conf ... #PROFS_GRANTED=Basic Solaris User PROFS_GRANTED=shared-profile,Basic Solaris User
Vedere anche
Per ulteriori informazioni, vedere Capitolo 1, About Using Rights to Control Users and Processes in Securing Users and Processes in Oracle Solaris 11.2 e consultare la pagina man privileges(5).