Sécurisation des utilisateurs et des processus dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Et droits utilisateurs privilège d'escalade

Oracle Solaris offre aux administrateurs une grande flexibilité pour configurer la sécurité. Selon la configuration de l'installation, le logiciel empêche l'escalade de privilèges. L'escalade des privilèges se produit lorsqu'un utilisateur ou un processus obtient plus de droits d'administration qu'il n'était prévu de lui en accorder. Dans ce sens, "privilege", et non pas uniquement signifie que tous les privilèges de noyau de droits. Reportez Escalade de privilèges et privilèges de noyau

Le logiciel Oracle Solaris comprend les droits qui sont affectés au rôle root uniquement. Si d'autres systèmes de sécurité sont en place, l'administrateur peut affecter les attributs conçus pour le rôle root à d'autres comptes, mais il doit procéder avec prudence.

    Les profils de droits et ensembles d'autorisations suivants peuvent escalader les privilèges à un compte non root :

  • Profil de droits Media Restore (Restauration des médias) : ce profil existe, mais il ne fait partie d'aucun autre profil de droits. Dans la mesure où Media Restore permet d'accéder à l'ensemble du système de fichiers root, son utilisation est une escalade possible de privilège. Des fichiers délibérément modifiés ou des médias de substitution peuvent être restaurés. Par défaut, le rôle root inclut ce profil de droits.

  • solaris.*.assign Autorisations : ces autorisations ne sont affectées à aucun profil de droits. Un compte avec une autorisation solaris.*.assign peut affecter à d'autres des droits qui ne lui sont pas affectés à lui-même. Par exemple, un rôle avec l'autorisation solaris.profile.assign peut affecter des profils de droits à d'autres comptes auxquels le rôle lui-même n'est pas affecté. Par défaut, seul le rôle root dispose des autorisations solaris.*.assign.

    Affecter les autorisationssolaris.*.delegate, au lieu d'autorisations solaris.*.assign. Une autorisation solaris.*.delegate permet au délégant de n'attribuer à d'autres comptes que les droits qu'il possède. Par exemple, un rôle avec l'autorisation solaris.profile.delegate peut affecter à d'autres utilisateurs et rôles des profils de droits qui lui sont affectés.

Pour éviter l'escalade des privilèges de noyau reportez-vous à Escalade de privilèges et privilèges de noyau.

Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant