| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Sicherheitsservices |
Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Verwalten und Verwenden von Berechtigungen (Übersicht der Schritte)
Verwalten von Berechtigungen (Übersicht der Schritte)
So legen Sie die Berechtigungen auf einem Prozess fest
So legen Sie die für ein Programm erforderlichen Berechtigungen fest
So fügen Sie Berechtigungen zu einem Befehl hinzu
So weisen Sie Berechtigungen einem Benutzer oder einer Rolle zu
So begrenzen Sie die Berechtigungen eines Benutzers oder einer Rolle
So führen Sie ein Shell-Skript mit privilegierten Befehlen aus
Festlegen Ihrer Berechtigungen (Übersicht der Schritte)
Festlegen Ihrer zugewiesenen Berechtigungen
So legen Sie die Ihnen direkt zugewiesenen Berechtigungen fest
So legen Sie die ausführbaren privilegierten Befehle fest
So legen Sie die von einer Rolle ausführbaren privilegierten Befehle fest
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Wenn einem Benutzer direkt Berechtigungen zugewiesen werden, gelten diese in jeder Shell. Wenn einem Benutzer nicht direkt Berechtigungen zugewiesen werden, muss der Benutzer eine Profil-Shell öffnen. Wenn sich z. B. Befehle mit zugewiesenen Berechtigungen in einem Berechtigungsprofil befinden, das in der Liste der Berechtigungsprofile des Benutzers enthalten ist, muss der Benutzer den Befehl in einer Profil-Shell ausführen.
Der folgende Vorgang zeigt, wie Sie festlegen können, ob Ihnen Berechtigungen direkt zugewiesen wurden.
 | Achtung - Unangemessene Verwendung direkt zugewiesener Berechtigungen kann zu unbeabsichtigten Sicherheitsverletzungen führen. Informationen hierzu finden Sie unter Sicherheitsüberlegungen bei direkter Zuweisung von Sicherheitsattributen. |
Weitere Informationen zu diesem Vorgang finden Sie unter So legen Sie die Berechtigungen auf einem Prozess fest.
Die Berechtigungen, die im effektiven Satz aufgelistet sind, gelten während Ihrer gesamten Sitzung. Wenn Ihnen zusätzlich zum grundlegenden Satz Berechtigungen direkt zugewiesen wurden, werden diese im effektiven Satz aufgelistet.
Beispiel 11-9 Festlegen Ihrer direkt zugewiesenen Berechtigungen
Wenn Ihnen Berechtigungen direkt zugewiesen wurden, enthält Ihr grundlegender Satz mehr als der standardmäßige grundlegende Satz. In diesem Beispiel hat der Benutzer stets Zugriff auf die Berechtigung proc_clock_highres.
% /usr/ucb/whoami
jdoe
% ppriv -v $$
1800: pfksh
flags = <none>
E: file_link_any,…,proc_clock_highres,proc_session
I: file_link_any,…,proc_clock_highres,proc_session
P: file_link_any,…,proc_clock_highres,proc_session
L: cpc_cpu,dtrace_kernel,dtrace_proc,dtrace_user,…,sys_time
% ppriv -vl proc_clock_highres
Allows a process to use high resolution timers.Beispiel 11-10 Festlegen der direkt zugewiesenen Berechtigungen einer Rolle
Rollen verwenden eine administrative Shell oder Profil-Shell. Benutzer, die eine Rolle annehmen, können die Shell der Rolle verwenden, um die Berechtigungen aufzulisten, die der Rolle direkt zugewiesen wurden. Im folgenden Beispiel wurden der Rolle realtime Berechtigungen zum Verarbeiten von Datums- und Zeitprogrammen direkt zugewiesen.
% su - realtime
Password: <Type realtime password>
$ /usr/ucb/whoami
realtime
$ ppriv -v $$
1600: pfksh
flags = <none>
E: file_link_any,…,proc_clock_highres,proc_session,sys_time
I: file_link_any,…,proc_clock_highres,proc_session,sys_time
P: file_link_any,…,proc_clock_highres,proc_session,sys_time
L: cpc_cpu,dtrace_kernel,dtrace_proc,dtrace_user,…,sys_time
Wenn einem Benutzer nicht direkt Berechtigungen zugewiesen werden, erhält der Benutzer mithilfe eines Berechtigungsprofils Zugriff auf privilegierte Befehle. Befehle in einem Berechtigungsprofil müssen in einer Profil-Shell ausgeführt werden.
Bevor Sie beginnen
Der Benutzer oder die Rolle, der/die eine Authentifizierung bei der Solaris Management Console durchführt, muss über die Autorisierung solaris.admin.usermgr.read verfügen. Das Berechtigungsprofil "Basic Solaris User" enthält diese Autorisierung.
$ /usr/sadm/bin/smuser list -- -n username -l
Authenticating as user: admin … Please enter a string value for: password :: … User name: username User ID (UID): 130 Primary group: staff Secondary groups: Comment: object mgt jobs Login Shell: /bin/sh Home dir server: system Home directory: /export/home/username AutoHome setup: True Mail server: system Rights: Object Access Management Assigned Roles:
In der Zeile "Rights" (Rechte) werden die Namen der Berechtigungsprofile aufgeführt, die Ihnen direkt zugewiesen wurden.
$ cd /etc/security $ grep "Object Access Management" exec_attr Object Access Management:solaris:cmd:::/usr/bin/chgrp:privs=file_chown Object Access Management:solaris:cmd:::/usr/bin/chown:privs=file_chown Object Access Management:suser:cmd:::/usr/bin/chgrp:euid=0 Object Access Management:suser:cmd:::/usr/bin/chmod:euid=0 …
Die Befehle mit hinzugefügten Berechtigungen werden am Ende der solaris-Richtlinieneinträge aufgeführt.
Wenn die Befehle in eine normale Shell eingegeben werden, werden die Befehle nicht mit Berechtigung ausgeführt und schlagen fehl.
% pfsh $
Beispiel 11-11 Ausführen privilegierter Befehle in einer Profil-Shell
Im folgenden Beispiel kann der Benutzer jdoe die Gruppenberechtigungen für eine Datei nicht von seiner normalen Shell aus ändern. jdoe kann jedoch die Berechtigungen durch Eingabe des Befehls in eine Profil-Shell ändern.
% whoami jdoe % ls -l useful.script -rwxr-xr-- 1 nodoe eng 262 Apr 2 10:52 useful.script chgrp staff useful.script chgrp: useful.script: Not owner % pfksh $ /usr/ucb/whoami jdoe $ chgrp staff useful.script $ chown jdoe useful.script $ ls -l useful.script -rwxr-xr-- 1 jdoe staff 262 Apr 2 10:53 useful.script
Eine Rolle erhält Zugriff auf privilegierte Befehle durch ein Berechtigungsprofil, das Befehle mit zugewiesenen Berechtigungen enthält. Die sicherste Art, einem Benutzer Zugriff auf privilegierte Befehle zu gewähren, ist, ihm eine Rolle zuzuweisen. Nach dem Annehmen der Rolle kann der Benutzer alle privilegierten Befehle ausführen, die im Berechtigungsprofil für diese Rolle enthalten sind.
Bevor Sie beginnen
Der Benutzer oder die Rolle, der/die eine Authentifizierung bei der Solaris Management Console durchführt, muss über die Autorisierung solaris.admin.usermgr.read verfügen. Das Berechtigungsprofil "Basic Solaris User" enthält diese Autorisierung.
$ /usr/sadm/bin/smuser list -- -n username -l Authenticating as user: primadmin … User name: username User ID (UID): 110 Primary group: staff Secondary groups: Comment: Has admin roles Login Shell: /bin/sh … Rights: Assigned Roles: primadmin, admin
In der Zeile "Assigned Roles" (Zugewiesene Rollen) werden die Rollen aufgeführt, die Sie annehmen können.
% su - devadmin Enter password: Type devadmin password $ whoami devadmin $ profiles Device Security
$ /usr/sadm/bin/smuser list -- -n admin -l Authenticating as user: primadmin … User name: admin User ID (UID): 101 Primary group: sysadmin Secondary groups: Comment: system administrator Login Shell: /bin/pfksh … Rights: System Administrator Assigned Roles:
Da das Systemadministratorprofil eine Sammlung von Profilen ist, müssen Sie die Profile im Systemadministratorprofil auflisten.
$ cd /etc/security $ grep "System Administrator" prof_attr System Administrator:::Can perform most non-security administrative tasks:profiles=Audit Review,Printer Management,Cron Management, Device Management,File System Management,Mail Management,Maintenance and Repair,Media Backup,Media Restore,Name Service Management,Network Management,Object Access Management,Process Management,Software Installation,User Management,All;help=RtSysAdmin.html
Das Netzwerkverwaltungsprofil beispielsweise ist ein ergänzendes Profil im Systemadministratorprofil. Das Netzwerkverwaltungsprofil enthält eine Reihe privilegierter Befehle.
$ cd /etc/security $ grep "Network Management" exec_attr Network Management:solaris:cmd:::/usr/sbin/ifconfig:privs=sys_net_config Network Management:solaris:cmd:::/usr/sbin/route:privs=sys_net_config …
Die Befehle und ihre zugewiesenen Berechtigungen befinden sich in den letzten beiden Feldern der solaris-Richtlinieneinträge. Sie können diese Befehle in der Profil-Shell Ihrer Rolle ausführen.
Beispiel 11-12 Ausführen der privilegierten Befehle in Ihrer Rolle
Wenn ein Benutzer eine Rolle annimmt, wird die Shell zur Profil-Shell. Daher werden die Befehle mit den Berechtigungen ausgeführt, die den Befehlen zugewiesen wurden. Im folgenden Beispiel kann die Rolle admin die Berechtigungen für die Datei useful.script ändern.
% whoami jdoe % ls -l useful.script -rwxr-xr-- 1 elsee eng 262 Apr 2 10:52 useful.script chgrp admin useful.script chgrp: useful.script: Not owner % su - admin Password: <Type admin password> $ /usr/ucb/whoami admin $ chgrp admin useful.script $ chown admin useful.script $ ls -l useful.script -rwxr-xr-- 1 admin admin 262 Apr 2 10:53 useful.script
|