Affichage et utilisation des valeurs par défaut RBAC (tâches)

Des droits sont affectés aux utilisateurs par défaut. Les droits pour tous les utilisateurs d'un système sont affectés dans le fichier /etc/security/policy.conf.

Affichage et utilisation des valeurs par défaut RBAC (liste des tâches)

Lors de l'installation d'Oracle Solaris, votre système est configuré avec des droits d'utilisateurs et des droits de processus. Sans autre configuration, utilisez la liste des tâches ci-dessous pour afficher et utiliser RBAC.

Procédure d'affichage de tous les attributs de sécurité définis

Utilisez les commandes suivantes pour répertorier toutes les autorisations et tous les profils de droits et les commandes avec les attributs de sécurité sur le système. Pour répertorier tous les privilèges définis, reportez-vous à la section Procédure de création d'une liste des privilèges sur le système.

1. Répertoriez toutes les autorisations.

   % getent auth_attr | more
   solaris.:::All Solaris Authorizations::help=AllSolAuthsHeader.html
   solaris.account.:::Account Management::help=AccountHeader.html
   ...
   solaris.zone.login:::Zone Login::help=ZoneLogin.html
   solaris.zone.manage:::Zone Deployment::help=ZoneManage.html

2. Répertoriez tous les profils de droits.

   % getent prof_attr | more
   All:::Execute any command as the user or role:help=RtAll.html
   Audit Configuration:::Configure Solaris Audit:auths=solaris.smf.value.audit;
   help=RtAuditCfg.html
   ...
   Zone Management:::Zones Virtual Application Environment Administration:
   help=RtZoneMngmnt.html
   Zone Security:::Zones Virtual Application Environment Security:auths=solaris.zone.*,
   solaris.auth.delegate;help=RtZoneSecurity.html ...

3. Répertoriez toutes les commandes avec des attributs de sécurité.

   % getent exec_attr | more
   All:solaris:cmd:::*:
   Audit Configuration:solaris:cmd:::/usr/sbin/auditconfig:privs=sys_audit
   ...
   Zone Security:solaris:cmd:::/usr/sbin/txzonemgr:uid=0
   Zone Security:solaris:cmd:::/usr/sbin/zonecfg:uid=0 ...

Procédure d'affichage des droits qui vous sont affectés

Utilisez les commandes suivantes pour afficher vos affectations RBAC. Pour afficher tous les droits qui peuvent être affectés, reportez-vous à la section Procédure d'affichage de tous les attributs de sécurité définis.

1. Répertoriez vos autorisations.

   % auths
   solaris.device.cdrw,solaris.device.mount.removable,solaris.mail.mailq

   Ces autorisations sont affectées à l'ensemble des utilisateurs par défaut.

2. Répertoriez vos profils de droits.

   % profiles
   Basic Solaris User
   All

   Par défaut, ces profils de droits sont affectés à tous les utilisateurs par défaut.

3. Répertoriez les rôles qui vous sont affectés.

   % roles
   root

   Ce rôle est affecté à l'utilisateur initial par défaut. Aucun rôle indique qu'aucun rôle ne vous est affecté.

4. Répertoriez les privilèges dans votre shell par défaut.

   % ppriv $$
   1234:    /bin/csh
   flags = <none>
       E: basic
       I: basic
       P: basic
       L: all

   Le jeu de privilèges de base est affecté par défaut à tous les utilisateurs. Le jeu limite contient tous les privilèges.

   % ppriv -vl basic
   file_link_any
           Allows a process to create hardlinks to files owned by a uid
           different from the process' effective uid.
   file_read
           Allows a process to read objects in the filesystem.
   file_write
           Allows a process to modify objects in the filesystem.
   net_access
           Allows a process to open a TCP, UDP, SDP or SCTP network endpoint.
   proc_exec
           Allows a process to call execve().
   proc_fork
           Allows a process to call fork1()/forkall()/vfork()
   proc_info
           Allows a process to examine the status of processes other
           than those it can send signals to.  Processes which cannot
           be examined cannot be seen in /proc and appear not to exist.
   proc_session
           Allows a process to send signals or trace processes outside its session.

5. Répertoriez les privilèges sur les commandes dans vos profils de droits.

   % profiles -l
     Basic Solaris User
      /usr/bin/cdda2wav.bin   privs=file_dac_read,sys_devices,
        proc_priocntl,net_privaddr
      /usr/bin/cdrecord.bin   privs=file_dac_read,sys_devices,
        proc_lock_memory,proc_priocntl,net_privaddr
      /usr/bin/readcd.bin     privs=file_dac_read,sys_devices,net_privaddr
     All
      * 

   Les profils de droit d'un utilisateur peuvent comprendre des commandes qui s'exécutent avec des privilèges particuliers. Le profil d'utilisateur de base Solaris comprend des commandes permettant de lire et d'écrire sur des CD-ROM.

Exemple 9-1 Liste des autorisations d'un utilisateur

% auths username
solaris.device.cdrw,solaris.device.mount.removable,solaris.mail.mailq

Exemple 9-2 Liste des profils de droits d'un utilisateur ou d'un rôle

La commande suivante répertorie les profils de droits d'un utilisateur spécifique.

% profiles jdoe
jdoe: 
          Basic Solaris User
          All

La commande suivante répertorie les profils de droits du rôle cryptomgt.

% profiles cryptomgt
cryptomgt:
          Crypto Management
          Basic Solaris User
          All

La commande suivante répertorie les profils de droits du rôle root :

% profiles root
root:
          All
          Console User
          Network Wifi Info
          Desktop Removable Media User
          Suspend To RAM
          Suspend To Disk
          Brightness
          CPU Power Management
          Network Autoconf User
          Basic Solaris User

Exemple 9-3 Liste des rôles affectés à un utilisateur

La commande suivante répertorie les rôles affectés à un utilisateur spécifique.

% roles jdoe
root

Exemple 9-4 Liste des privilèges d'un utilisateur sur des commandes spécifiques

La commande suivante répertorie les commandes privilégiées dans les profils de droits d'un utilisateur standard.

% profiles -l jdoe
jdoe: 
  Basic Solaris User
   /usr/bin/cdda2wav.bin   privs=file_dac_read,sys_devices,
     proc_priocntl,net_privaddr
   /usr/bin/cdrecord.bin   privs=file_dac_read,sys_devices,
     proc_lock_memory,proc_priocntl,net_privaddr
   /usr/bin/readcd.bin     privs=file_dac_read,sys_devices,net_privaddr
  All
   * 

Procédure d'endossement d'un rôle

Avant de commencer

Le rôle doit déjà vous être affecté. Le service de noms doit être mis à jour avec ces informations.

1. Dans une fenêtre de terminal, déterminez les rôles que vous pouvez endosser.

   % roles
   Comma-separated list of role names is displayed

2. Utilisez la commande su pour endosser un rôle.

   % su - rolename
   Password: <Type rolename password>
   $

   La commande su - rolename change le shell en shell de profil pour le rôle. Un shell de profil reconnaît les attributs de sécurité, tels que les autorisations, les privilèges et les bits ID définis.

3. (Facultatif) Vérifiez que vous endossez à présent un rôle.

   $ /usr/bin/whoami
   rolename

   Vous pouvez maintenant effectuer des tâches de ce rôle dans cette fenêtre de terminal.

4. (Facultatif) Affichez les capacités de votre rôle.

   Pour plus d'informations sur cette procédure, reportez-vous à la section Procédure d'affichage des droits qui vous sont affectés.

Exemple 9-5 Endossement du rôle root

Dans l'exemple suivant, l'utilisateur initial endosse le rôle root et répertorie les privilèges dans le shell du rôle.

% roles
root
% su - root
Password: <Type root password>
# Prompt changes to root prompt
# ppriv $$
1200:   pfksh
flags = <none>
        E: all
        I: basic
        P: all
        L: all

Pour plus d'informations sur les privilèges, reportez-vous à la section Privilèges (présentation).

Procédure d'obtention des droits d'administration

Des droits d'administration sont en vigueur lorsque vous exécutez un shell de profil. Par défaut, un compte du rôle obtient un shell de profil. Les rôles sont des comptes spéciaux qui obtiennent des droits d'administration spécifiques, généralement liés à un jeu de tâches d'administration, telles que l'examen des fichiers d'audit

Dans le rôle root, l'utilisateur initial dispose de tous les droits d'administration, c'est-à-dire que l'utilisateur initial est superutilisateur. Le rôle root peut créer d'autres rôles.

Avant de commencer

Pour administrer le système, vous devez disposer de droits qui ne sont pas affectés aux utilisateurs standard. Si vous n'êtes pas superutilisateur, vous devez obtenir un rôle, un profil de droits d'administration ou des autorisations ou privilèges spécifiques.

• Choisissez l'une des méthodes suivantes pour exécuter des commandes d'administration.

  Ouvrez une fenêtre de terminal.

  • Connectez-vous en tant que root

    % su -
    Password: Type the root password
    #

    ---

    Remarque - Cette méthode fonctionne aussi bien lorsque root est un utilisateur que lorsqu'il est un rôle. L'invite avec le signe dièse (#) indique que vous êtes maintenant superutilisateur.

    ---

  • Endossez un rôle qui vous a été affecté.

    Dans l'exemple suivant, vous endossez un rôle de gestion du réseau. Ce rôle inclut le profil de droits Network Management (gestion du réseau).

    % su - networkadmin
    Password: Type the networkadmin password
    $

    Vous êtes à présent dans un shell de profil. Dans ce shell, vous pouvez exécuter snoop, router, dladm, et d'autres commandes. Pour en savoir plus sur les shells de profil, reportez-vous à la section Shells de profil et RBAC.

    ---

    Astuce - Suivez les étapes décrites à la section Procédure d'affichage des droits qui vous sont affectés pour afficher les capacités de votre rôle.

    ---

  • Utilisez la commande pfbash pour créer un shell qui s'exécute avec les droits d'administration.

    Par exemple, le jeu de commandes ci-après vous permet d'examiner les paquets du réseau dans le shell pfbash :

    % pfbash
    $ anoop

    Si le privilège net_observability ne vous est pas affecté, la commande snoop échoue avec un message d'erreur similaire à celui-ci : snoop: cannot open "net0": Permission denied. Si le privilège vous est affecté directement ou par l'intermédiaire d'un profil de droits ou d'un rôle, cette commande réussira. Vous pouvez également exécuter d'autres commandes privilégiées dans ce shell.

  • Utilisez la commande pfexec pour créer un processus qui s'exécute avec les droits d'administration.

    Exécutez la commande pfexec avec le nom d'une commande privilégiée de votre profil de droits. Par exemple, la commande suivante vous permet d'examiner les paquets du réseau :

    % pfexec snoop

    Les mêmes limitations de privilèges s'appliquent à pfexec comme à pfbash. Cependant, pour exécuter une autre commande privilégiée, vous devez saisir pfexec une nouvelle fois avant de taper la commande privilégiée.

Exemple 9-6 Mise en cache de l'authentification pour faciliter l'utilisation des rôles

Dans cet exemple, l'administrateur configure un rôle pour gérer le réseau et facilite son utilisation mettant en cache l'authentification de l'utilisateur. Tout d'abord, l'administrateur crée et affecte le rôle.

# roleadd -K roleauth=user -P "Network Management" netmgt
# usermod -R +netmgt jdoe

Quand jdoe utilise l'option -c lors du changement de rôle, un mot de passe est requis avant que la sortie snoop ne s'affiche :

% su - netmgt -c snoop options
Password:

snoop output

Si l'authentification n'est pas mise en cache, et jdoe réexécute immédiatement la commande, une invite de mot de passe s'affiche.

L'administrateur configure le fichier pam.conf pour mettre en cache l'authentification, de sorte qu'un mot de passe est requis initialement mais pas par la suite jusqu'à ce qu'un certain laps de temps se soit écoulé. L'administrateur place toutes les piles personnalisées pam.conf à la fin du fichier.

# vi /etc/pam.conf
...
#
## Cache authentication for switched user
#
su      auth required           pam_unix_cred.so.1
su      auth sufficient         pam_tty_tickets.so.1
su      auth requisite          pam_authtok_get.so.1
su      auth required           pam_dhkeys.so.1
su      auth required           pam_unix_auth.so.1

Après avoir créé les entrées, l'administrateur vérifie les fautes de frappe, omissions ou répétitions dans les entrées.

L'intégralité de la pile su est requise. Le module pam_tty_tickets.so.1 fournit le cache. Pour plus d'informations sur PAM, reportez-vous à la page de manuel pam.conf(4) et au Chapitre 15, Utilisation de PAM.

Une fois la pile PAM su ajoutée au fichier pam.conf, le rôle netmgt n'est invité qu'une seule fois à indiquer son mot de passe lors de l'exécution d'une série de commandes.

% su - netmgt -c snoop options
Password:

snoop output
% su - netmgt -c snoop options
snoop output
...