profiles : répertorie les profils de droits de l'utilisateur en cours
profiles -a répertorie tous les noms des profils de droits
profiles -l : répertorie les définitions complètes des profils de droits de l'utilisateur en cours
profiles username : répertorie les profils de droits de username
profiles -x : répertorie les profils de droits de l'utilisateur actuel devant être authentifiés
profiles -x username : répertorie les profils de droits de username devant être authentifiés
profiles -p profile-name info : imprime le contenu des profils de droits spécifiés
getent prof_attr : répertorie les définitions complètes de tous les profils de droits figurant dans le service de noms
$ profiles -a
Console User
CUPS Administration
Desktop Removable Media User
...
VSCAN Management
WUSB Management
Exemple 6-5 Affichage du contenu de la base de données de profils de droits
$ getent prof_attr | more All:::Execute any command as the user or role:help=RtAll.html Audit Configuration:::Configure Solaris Audit:auths=solaris.smf.value.audit; help=RtAuditCfg.html ... Zone Management:::Zones Virtual Application Environment Administration: help=RtZoneMngmnt.html Zone Security:::Zones Virtual Application Environment Security:auths=solaris.zone.*, solaris.auth.delegate;help=RtZoneSecurity.html ...Exemple 6-6 Répertorier les profils de droits par défaut des utilisateurs
Répertoriez vos profils de droits. Les profils de droits suivants sont affectés à tous les utilisateurs par défaut.
$ profiles Basic Solaris User AllExemple 6-7 Répertorier les profils de droits de l'utilisateur initial
Plusieurs profils de droits sont affectés à l'utilisateur initial.
$ profiles Initial user System Administrator Audit Review ... CPU Power Management Basic Solaris User All
Pour afficher tous les attributs de sécurité affectés aux profils de l'utilisateur initial, utilisez l'option –l.
$ profiles -l Initial user | more
Initial user:
System Administrator
profiles=Install Service Management,Audit Review,Extended Accounting
Flow Management,Extended Accounting Net Management,Extended Accounting Process
Management,Extended Accounting Task Management,Printer Management,Cron Managem
ent,Device Management,File System Management,Log Management,Mail Management,
Maintenance and Repair,Media Catalog,Name Service Management,Network Management,
Project Management,RAD Management,Service Operator,Shadow Migration Monitor,So
Software Installation,System Configuration,User Management,ZFS Storage Management
/usr/sbin/gparted uid=0
Install Service Management
auths=solaris.autoinstall.service
profiles=Install Manifest Management,Install Profile Management,
Install Client Management
...
Exemple 6-8 Affichage du contenu de an Assigned Rights Profile
L'utilisateur initial énumère les droits accordés par le profil Audit Review (vérification d'audit).
$ profiles -l Audit Review solaris.audit.read /usr/sbin/auditreduce euid=0 /usr/sbin/auditstat privs=proc_audit /usr/sbin/praudit privs=file_dac_readExemple 6-9 Liste the Security Attributes of a Command in a Rights Profile
Cette variante de la commande profiles est utile pour voir les attributs de sécurité d'une commande dans un profil de droits qui ne vous est pas affecté.
Dans un premier temps, répertoriez les commandes dans le profil.
% profiles -p "Audit Review" info name=Audit Review desc=Review Solaris Auditing logs help=RtAuditReview.html cmd=/usr/sbin/auditreduce cmd=/usr/sbin/auditstat cmd=/usr/sbin/praudit
Ensuite, répertoriez les attributs de sécurité de l'une des commandes répertoriées dans le profil.
% profiles -p "Audit Review" "select cmd=/usr/sbin/praudit ; info; end;" select: command is read-only id=/usr/sbin/praudit privs=file_dac_read end: command is read-onlyExemple 6-10 Affichage du contenu de Rights Profiles That Are récemment créé (e) s
L'option –less affiche d'abord les profils de droits ajoutés le plus récemment. Cette variante de la commandeprofiles est utile lorsque vous créez ou modifiez les profils de droits sur votre site. La sortie suivante indique le contenu du profil qui a été ajoutée dans l'Example 4–1. Un utilisateur standard peut exécuter cette commande.
$ profiles -la | less
LegacyApp
/opt/legacy-app/bin/legacy-cmd
euid=0
OpenLDAP...