多数管理任务(如添加用户或管理文件系统)要求您首先以 root (UID=0) 身份登录或者承担角色(如果使用 RBAC)。root 帐户又称作超级用户帐户,可用来对系统进行更改,还可以在紧急情况下覆盖用户的文件保护。
为防止随意更改系统,超级用户帐户和角色只应当用来执行管理任务。与超级用户帐户相关的安全问题就是,即使用户执行很少的任务,也能够完全访问系统。
在非 RBAC 环境中,可以超级用户的身份登录系统,也可以使用 su 命令切换到超级用户帐户。如果实现了 RBAC,则可以通过控制台承担角色,或者使用 su 指定角色。
在使用控制台执行管理任务时,可以执行以下操作之一:
以自己的身份登录控制台,然后提供 root 用户名和口令
以自己的身份登录控制台,然后承担角色
RBAC 的一个主要优点就是,可以创建对特定功能进行有限访问的角色。如果使用 RBAC,则可以通过承担角色(而不是成为超级用户)来运行受限制的应用程序。
有关创建主管理员角色的分步说明,请参见如何创建第一个角色(主管理员)。有关 RBAC 的概述,请参见 《系统管理指南:安全性服务》中的第 9 章 “使用基于角色的访问控制(任务)”。
可通过使用以下方法之一成为超级用户或承担角色。每种方法都要求您知道超级用户口令或角色口令。
通过选择以下方法的其中之一,成为超级用户:
以用户身份登录,然后执行以下操作:
通过此方法可以从控制台执行任何管理任务。
有关启动 Solaris Management Console 的信息,请参见如何在名称服务环境中启动 Solaris Management Console。
以超级用户身份登录系统控制台。
hostname console: root Password: root-password # |
井号 (#) 是超级用户帐户的 shell 提示符。
此方法提供对所有系统命令和工具的完全访问权限。
以用户身份登录,然后通过在命令行上使用 su 命令切换到超级用户帐户。
% su Password: root-password # |
此方法提供对所有系统命令和工具的完全访问权限。
以超级用户身份远程登录。
此方法在缺省情况下处于禁用状态。必须修改 /etc/default/login 文件,允许以超级用户身份远程登录系统控制台。有关修改此文件的信息,请参见《系统管理指南:安全性服务》中的第 3 章 “控制对系统的访问(任务)”。
此方法提供对所有系统命令和工具的完全访问权限。
承担角色。
选择以下引导方法之一:
以用户身份登录,然后通过在命令行上使用 su 命令切换到角色。
% su role Password: role-password $ |
此方法提供对角色能够访问的所有命令和工具的访问权限。
以用户身份登录,然后执行以下操作:
有关启动 Solaris Management Console 的信息,请参见如何以超级用户或角色身份启动控制台。
此方法提供对角色能够访问的所有 Solaris 管理工具的访问权限。