JavaScript is required to for searching.
Navigationslinks �berspringen
Druckansicht beenden
Systemverwaltungshandbuch: Sicherheitsservices
Oracle Technologienetzwerk
Bibliothek
PDF
Druckansicht
Feedback
search filter icon
search icon

Dokument-Informationen

Vorwort

Teil I Übersicht über die Sicherheit

1.  Sicherheitsservices (Überblick)

Teil II System-, Datei- und Gerätesicherheit

2.  Verwalten von Rechnersicherheit (Übersicht)

3.  Steuern des Zugriffs auf Systeme (Aufgaben)

4.  Steuern des Zugriffs auf Geräte (Aufgaben)

5.  Verwenden von Basic Audit Reporting Tool (Aufgaben)

6.  Steuern des Zugriffs auf Dateien (Aufgaben)

7.  Verwenden von Automated Security Enhancement Tool (Aufgaben)

Teil III Rollen, Berechtigungsprofile und Berechtigungen

8.  Verwenden von Rollen und Berechtigungen (Übersicht)

9.  Rollenbasierte Zugriffssteuerung (Aufgaben)

10.  Rollenbasierte Zugriffssteuerung (Übersicht)

11.  Berechtigungen (Aufgaben)

12.  Berechtigungen (Referenz)

Administrative Befehle zum Verarbeiten von Berechtigungen

Dateien mit Berechtigungsinformationen

Berechtigungen und Prüfung

Verhindern von Berechtigungseskalation

Legacy-Anwendungen und das Berechtigungsmodell

Teil IV Kryptografische Services

13.  Oracle Solaris Cryptographic Framework (Übersicht)

14.  Oracle Solaris Cryptographic Framework (Aufgaben)

15.  Oracle Solaris Key Management Framework

Teil V Authentifizierungsservices und sichere Kommunikation

16.  Verwenden von Authentifizierungsservices (Aufgaben)

17.  Verwenden von PAM

18.  Verwenden von SASL

19.  Verwenden von Oracle Solaris Secure Shell (Aufgaben)

20.  Oracle Solaris Secure Shell (Referenz)

Teil VI Kerberos-Service

21.  Einführung zum Kerberos-Service

22.  Planen des Kerberos-Service

23.  Konfigurieren des Kerberos-Service (Aufgaben)

24.  Kerberos-Fehlermeldungen und -Fehlerbehebung

25.  Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)

26.  Verwenden von Kerberos-Anwendungen (Aufgaben)

27.  Der Kerberos-Service (Referenz)

Teil VII Prüfung bei Oracle Solaris

28.  Prüfung bei Oracle Solaris (Übersicht)

29.  Planen der Oracle Solaris-Prüfung

30.  Verwalten der Oracle Solaris-Prüfung (Aufgaben)

31.  Prüfung bei Oracle Solaris (Referenz)

Glossar

Index

Verhindern von Berechtigungseskalation

Der Oracle Solaris-Kernel verhindert Berechtigungseskalation. Berechtigungseskalation findet statt, wenn eine Berechtigung einem Prozess mehr Vorgänge ermöglicht, als der Prozess eigentlich ausführen können sollte. Um zu verhindern, dass ein Prozess mehr Berechtigungen erhält als vorgesehen, ist für kritische Systemänderungen der vollständige Berechtigungssatz erforderlich. Eine Datei oder ein Prozess, die/der root gehört (UID=0 ), kann z. B. nur von einem Prozess mit dem vollständigen Berechtigungssatz geändert werden. Das root-Konto erfordert keine Berechtigungen zum Ändern einer Datei, die root gehört. Ein Nicht-Root-Benutzer muss jedoch über alle Berechtigungen verfügen, um eine Datei zu ändern, die root gehört.

Auf ähnliche Weise erfordern Vorgänge, die Zugriff auf Geräte ermöglichen, alle Berechtigungen im effektiven Satz.

Die Berechtigungen file_chown_self und proc_owner unterliegen der Berechtigungseskalation. Die Berechtigung file_chown_self ermöglicht einem Prozess, seine Dateien abzugeben. Die Berechtigung proc_owner ermöglicht einem Prozess, Prozesse, die ihm nicht gehören, zu untersuchen.

Die Berechtigung file_chown_self ist durch die Systemvariable rstchown begrenzt. Wenn die Variable rstchown auf Null gesetzt wird, wird die Berechtigung file_chown_self aus dem ursprünglichen vererbbaren Satz des Systems und aller Benutzer entfernt. Weitere Informationen zur Systemvariable rstchown erhalten Sie auf der Manpage chown(1).

Die Berechtigung file_chown_self wird am sichersten einem bestimmten Befehl zugewiesen, in ein Profil platziert und einer Rolle zur Verwendung in einer Profil-Shell zugewiesen.

Die Berechtigung proc_owner reicht nicht aus, um eine Prozess-UID auf 0 zu setzen. Um eine beliebige Prozess-UID auf UID=0 zu setzen, sind alle Berechtigungen erforderlich. Da die Berechtigung proc_owner unbeschränkten Lesezugriff auf alle Dateien auf dem System gewährt, wird die Berechtigung am sichersten einem bestimmten Befehl zugewiesen, in ein Profil platziert und einer Rolle zur Verwendung in einer Profil-Shell zugewiesen.

Achtung

Achtung - Ein Benutzerkonto kann so geändert werden, dass es die Berechtigung file_chown_self oder die Berechtigung proc_owner im ursprünglichen vererbbaren Satz des Benutzers einschließt. Sie sollten übergeordnete Sicherheitsgründe dafür haben, so leistungsstarke Berechtigungen im vererbbaren Berechtigungssatz eines Benutzers, einer Rolle oder eines Systems zu platzieren.

Weitere Informationen dazu, wie Berechtigungseskalation für Geräte verhindert wird, erhalten Sie unter Berechtigungen und Geräte.

Copyright © 2002, 2011, Oracle und/oder verbundene Unternehmen. Alle Rechte vorbehalten. Rechtlicher Hinweis
Zurück Vor