特権の使用 (タスク)

次のタスクマップは、システムで特権を管理および使用するためのステップごとの手順を示しています。

特権の判断 (タスクマップ)

ユーザーに特権が直接割り当てられるとき、その特権はすべてのシェルで有効になります。ユーザーに特権が直接割り当てられないとき、ユーザーはプロファイルシェルを開く必要があります。たとえば、特権が割り当てられているコマンドがユーザーの権利プロファイルのリスト内の権利プロファイルに含まれるとき、ユーザーはプロファイルシェルでコマンドを実行する必要があります。

次のタスクマップは、ユーザーに割り当てられている特権を表示する手順を示しています。

システム上の特権を一覧表示する方法

次の手順は、特権の名前と定義を表示する方法を示しています。

• 端末ウィンドウで、特権をオンラインで表示できます。
  • privileges(5) マニュアルページを表示して、特権を一覧表示します。

    % man privileges
    Standards, Environments, and Macros                 privileges(5)
    
    NAME
         privileges - process privilege model
    ...
         The defined privileges are:
    
         PRIV_CONTRACT_EVENT
    
             Allow a process to request reliable delivery  of  events
             to an event endpoint.
    
             Allow a process to include events in the critical  event
             set  term  of  a  template  which  could be generated in
             volume by the user.
    ...

    この特権の形式は開発者によって使用されます。

  • ppriv コマンドを使用して、特権を一覧表示します。

    % ppriv -lv | more
    contract_event
        Allows a process to request critical events without limitation.
        Allows a process to request reliable delivery of all events on
        any event queue.
    ...
    win_upgrade_sl
            Allows a process to set the sensitivity label of a window
            resource to a sensitivity label that dominates the existing
            sensitivity label.
            This privilege is interpreted only if the system is configured
            with Trusted Extensions.

    この特権の形式は、useradd、roleadd、usermod、および rolemod コマンドでユーザーや役割に特権を割り当てたり、profiles コマンドで権利プロファイルに特権を割り当てたりするために使用されます。

直接割り当てられた特権を判断する方法

次の手順は、特権が直接割り当てられたかどうかを判断する方法です。

---

注意 - 直接割り当てられた特権を不適切に使用すると、無意識のうちにセキュリティーを侵害する可能性があります。詳細については、「セキュリティー属性を直接割り当てる場合に考慮すべきセキュリティー事項」を参照してください。

---

1. プロセスが使用可能な特権を一覧表示します。

   手順については、「プロセスの特権を判断する方法」を参照してください。

2. 任意のシェルでアクションを起動し、コマンドを実行します。

   有効なセットに一覧表示されている特権は、セッション全体を通して有効です。基本セットに加えて特権を直接割り当てた場合、その特権は有効なセットに一覧表示されます。

例 9-30 直接割り当てられた特権の判断

直接特権が割り当てられた場合、基本セットにはデフォルトの基本セットより多くの特権が含まれます。この例では、ユーザーは常時 proc_clock_highres 特権にアクセスできます。

% /usr/bin/whoami
jdoe
% ppriv -v $$
1800:   pfksh
flags = <none>
        E: file_link_any,…,proc_clock_highres,proc_session
        I: file_link_any,…,proc_clock_highres,proc_session
        P: file_link_any,…,proc_clock_highres,proc_session
        L: cpc_cpu,dtrace_kernel,dtrace_proc,dtrace_user,…,sys_time
% ppriv -vl proc_clock_highres
        Allows a process to use high resolution timers.

例 9-31 役割に直接割り当てられた特権の判断

役割では、管理シェルまたはプロファイルシェルが使用されます。役割になるユーザーは、役割のシェルを使用して、役割に直接割り当てられている特権を一覧表示することができます。次の例では、役割 realtime に日時のプログラムを処理する特権が直接割り当てられます。

% su - realtime
Password: <Type realtime password>
$ /usr/bin/whoami
realtime
$ ppriv -v $$
1600:   pfksh
flags = <none>
        E: file_link_any,…,proc_clock_highres,proc_session,sys_time
        I: file_link_any,…,proc_clock_highres,proc_session,sys_time
        P: file_link_any,…,proc_clock_highres,proc_session,sys_time
        L: cpc_cpu,dtrace_kernel,dtrace_proc,dtrace_user,…,sys_time

実行可能な特権付きコマンドを判断する方法

ユーザーに直接特権が割り当てられていないとき、ユーザーは権利プロファイルによって特権付きコマンドにアクセスすることができます。権利プロファイルのコマンドは、プロファイルシェルで実行する必要があります。

1. 割り当てられている権利プロファイルを判断します。

   % profiles
   Audit Review
   Console User
   Suspend To RAM
   Suspend To Disk
   Brightness
   CPU Power Management
   Network Autoconf
   Desktop Print Management
   Network Wifi Info
   Desktop Removable Media User
   Basic Solaris User
   All

2. Audit Review プロファイルの権限を判断します。

   profiles -l
   Audit Review
   
     solaris.audit.read
     
     /usr/sbin/auditreduce  euid=0
     /usr/sbin/auditstat    euid=0
     /usr/sbin/praudit      euid=0

   Audit Review 権利プロファイルを使用すると、実効 UID を 0 にして auditreduce、auditstat、および praudit コマンドを実行し、solaris.audit.read 承認を割り当てることができます。

例 9-32 役割の特権付きコマンドの判断

この例では、ユーザーは割り当てられた役割を引き受け、権利プロファイルのいずれかに含まれているコマンドを一覧表示します。

% roles
devadmin
% su - devadmin
Password: Type devadmin password
$ profiles -l
Device Security
          /usr/bin/kbd        uid=0;gid=sys
          /usr/sbin/add_allocatable    euid=0
          /usr/sbin/add_drv        uid=0
          /usr/sbin/devfsadm        uid=0
          /usr/sbin/eeprom        uid=0
          /usr/sbin/list_devices        euid=0
          /usr/sbin/rem_drv        uid=0
          /usr/sbin/remove_allocatable    euid=0
          /usr/sbin/strace        euid=0
          /usr/sbin/update_drv        uid=0

例 9-33 役割での特権付きコマンドの実行

次の例で、admin 役割は、 useful.script ファイルに関する権利を変更することができます。

% whoami
jdoe
% ls -l useful.script
-rwxr-xr-- 1 elsee eng 262 Apr 2 10:52 useful.script
chgrp admin useful.script
chgrp: useful.script: Not owner
% su - admin
Password: <Type admin password>
$ /usr/bin/whoami
admin
$ chgrp admin useful.script
$ chown admin useful.script
$ ls -l useful.script
-rwxr-xr-- 1 admin admin 262 Apr 2 10:53 useful.script

特権の管理 (タスクマップ)

ユーザーおよび役割の特権を管理する最も安全な方法として、権利プロファイルのコマンドに対して特権の使用を制限します。その後、権利プロファイルを役割に含めます。その役割をユーザーに割り当てます。ユーザーは、割り当てられた役割を引き受けると、特権付きコマンドをプロファイルシェルで実行できるようになります。次の手順は、特権の割り当て、特権の削除、および特権の使用のデバッグの方法を示したものです。

次のタスクマップは、特権の割り当て、削除、およびデバッグの手順と、特権付きコマンドが含まれるスクリプトの実行手順を示しています。

プロセスの特権を判断する方法

この手順は、プロセスで使用可能な特権を判断する方法です。一覧には、特定のコマンドに割り当てられている特権は含まれません。

• シェルのプロセスで使用可能な特権を一覧表示します。

  % ppriv pid
  $ ppriv -v pid

  pid

  プロセス番号です。二重ドル記号 ($$) を使用して親シェルのプロセス番号をコマンドに渡します。

  -v

  特権名の詳細な一覧表示を行います。

例 9-34 現在のシェルでの特権の判断

次の例では、ユーザーのシェルプロセスの親プロセスでの特権を一覧表示します。2 つ目の例では、特権の正式名を一覧表示します。出力の最初の文字は、次の特権セットを指しています。

E

有効な特権セットです。

I

継承可能な特権セットです。

P

許可された特権セットです。

L

制限付きの特権セットです。

% ppriv $$
1200:   -csh
flags = <none>
        E: basic
        I: basic
        P: basic
        L: all
% ppriv -v $$
1200:   -csh
flags = <none>
        E: file_link_any,net_access,proc_exec,proc_fork,proc_info,proc_session
        I: file_link_any,net_access,proc_exec,proc_fork,proc_info,proc_session
        P: file_link_any,net_access,proc_exec,proc_fork,proc_info,proc_session
        L: cpc_cpu,dtrace_kernel,dtrace_proc,dtrace_user,…,sys_time

例 9-35 引き受けることができる役割の特権の判断

役割では、管理シェルまたはプロファイルシェルが使用されます。役割に直接割り当てられている特権を一覧表示するには、役割になり、役割のシェルを使用する必要があります。次の例では、役割 sysadmin に直接割り当てられている特権はありません。

% su - sysadmin
Password: <Type sysadmin password>
$ /usr/bin/whoami
sysadmin
$ ppriv -v $$
1400:   pfksh
flags = <none>
        E: file_link_any,file_read,file_write,net_access,proc_exec,proc_fork,
           proc_info,proc_session
        I: file_link_any,file_read,file_write,net_access,proc_exec,proc_fork,
           proc_info,proc_session
        P: file_link_any,file_read,file_write,net_access,proc_exec,proc_fork,
           proc_info,proc_session
        L: cpc_cpu,dtrace_kernel,dtrace_proc,dtrace_user,…,win_upgrade_sl

プログラムが必要とする特権を判断する方法

この手順では、コマンドまたはプロセスが必要とする特権を判断します。

始める前に

このデバッグ手順は、コマンドまたはプロセスが失敗する場合に有効です。

1. ppriv デバッグコマンドに対する引数として失敗しているコマンドを入力します。

   % ppriv -eD touch /etc/acct/yearly
   touch[5245]: missing privilege "file_dac_write"
        (euid = 130, syscall = 224) needed at zfs_zaccess+0x258
   touch: cannot create /etc/acct/yearly: Permission denied 

2. /etc/name_to_sysnum ファイルの syscall 番号を見つけ、失敗しているシステムコールを突き止めます。

   % grep 224 /etc/name_to_sysnum
   creat64                 224

例 9-36 特権の使用を検査するための truss コマンドの使用

truss コマンドは、通常のシェルで特権の使用をデバッグすることができます。たとえば、次のコマンドは、失敗した touch プロセスをデバッグします。

% truss -t creat touch /etc/acct/yearly
creat64("/etc/acct/yearly", 0666)            
                       Err#13 EACCES [file_dac_write]
touch: /etc/acct/yearly cannot create

拡張された /proc インタフェースで、truss 出力のエラーコードのあとに欠如している特権がレポートされます。

例 9-37 プロファイルシェルで特権の使用を検査するための ppriv コマンドの使用

ppriv コマンドは、プロファイルシェルで特権の使用をデバッグすることができます。権利プロファイルをユーザーに割り当て、割り当てた権利プロファイルに特権付きのコマンドを含める場合、そのコマンドはプロファイルシェルで入力する必要があります。特権付きのコマンドを通常のシェルで入力すると、そのコマンドは特権では実行されません。

次の例で、jdoe ユーザーは、役割 objadminを引き受けることができます。objadmin 役割には、Object Access Management 権利プロファイルが含まれます。この権利プロファイルによって、objadmin 役割は objadmin が所有しないファイルに関するアクセス権を変更することができます。

次の例で、jdoe は、useful.script ファイルに関するアクセス権を変更することができません。

jdoe% ls -l useful.script
-rw-r--r--  1 aloe  staff  2303 Apr 10 10:10 useful.script
jdoe% chown objadmin useful.script
chown: useful.script: Not owner
jdoe% ppriv -eD chown objadmin useful.script
chown[11444]: missing privilege "file_chown" 
            (euid = 130, syscall = 16) needed at zfs_zaccess+0x258
chown: useful.script: Not owner

jdoe が objadmin 役割を引き受けると、ファイルに関するアクセス権が変更されます。

jdoe% su - objadmin
Password: <Type objadmin password>
$ ls -l useful.script
-rw-r--r--  1 aloe  staff  2303 Apr 10 10:10 useful.script
$ chown objadmin useful.script
$ ls -l useful.script
-rw-r--r--  1 objadmin  staff  2303 Apr 10 10:10 useful.script
$ chgrp admin useful.script
$ ls -l objadmin.script
-rw-r--r--  1 objadmin  admin  2303 Apr 10 10:11 useful.script

例 9-38 root ユーザーが所有するファイルの変更

この例では、特権エスカレーションに対する保護について説明します。詳細については、「特権エスカレーションの防止」を参照してください。ファイルは、root ユーザーが所有します。権限の弱い objadmin 役割ではファイルの所有を変更するためにはすべての特権が必要なので、処理は失敗します。

jdoe% su - objadmin
Password: <Type objadmin password>
$ cd /etc; ls -l system
-rw-r--r--  1 root  sys   1883 Oct 10 10:20 system
$ chown objadmin system
chown: system: Not owner
$ ppriv -eD chown objadmin system
chown[11481]: missing privilege "ALL" 
     (euid = 101, syscall = 16) needed at zfs_zaccess+0x258
chown: system: Not owner

特権付きのコマンドを含むシェルスクリプトの実行方法

始める前に

root 役割になっている必要があります。

1. 1 行目は、スクリプトを /bin/pfsh またはほかのプロファイルシェルで開始します。

   #!/bin/pfsh
   # Copyright (c) 2011 by Oracle

2. スクリプトのコマンドが必要とする特権を判断します。

   % ppriv -eD script-full-path

3. 必要なセキュリティー属性を持つ管理者になります。

   詳細は、「管理権限を取得する方法」を参照してください。

4. スクリプトの権利プロファイルを作成または変更します。

   シェルスクリプトとそのシェルスクリプトに含まれるコマンドを、それらの必要なセキュリティー属性とともに権利プロファイルに追加する必要があります。手順については、「権利プロファイルを作成または変更する方法」を参照してください。

5. 権利プロファイルを役割に追加し、その役割をユーザーに割り当てます。

   スクリプトを実行するために、ユーザーはその役割を引き受け、役割のプロファイルシェルでスクリプトを実行します。

   • 権利プロファイルを役割に追加するには、「役割のセキュリティー属性を変更する方法」を参照してください。

   • 役割をユーザーに割り当てるには、例 9-20 を参照してください。