profiles : répertorie les profils de droits de l'utilisateur en cours
profiles -a répertorie tous les noms des profils de droits
profiles -l : répertorie les définitions complètes des profils de droits de l'utilisateur en cours
profiles username : répertorie les profils de droits de username
profiles -x : répertorie les profils de droits de l'utilisateur actuel devant être authentifiés
profiles -x username : répertorie les profils de droits de username devant être authentifiés
profiles -p profile-name info : imprime le contenu des profils de droits spécifiés
getent prof_attr : répertorie les définitions complètes de tous les profils de droits figurant dans le service de noms
$ profiles -a Console User CUPS Administration Desktop Removable Media User ... VSCAN Management WUSB ManagementExemple 6-5 Affichage du contenu de la base de données de profils de droits
$ getent prof_attr | more All:::Execute any command as the user or role:help=RtAll.html Audit Configuration:::Configure Solaris Audit:auths=solaris.smf.value.audit; help=RtAuditCfg.html ... Zone Management:::Zones Virtual Application Environment Administration: help=RtZoneMngmnt.html Zone Security:::Zones Virtual Application Environment Security:auths=solaris.zone.*, solaris.auth.delegate;help=RtZoneSecurity.html ...Exemple 6-6 Répertorier les profils de droits par défaut des utilisateurs
Répertoriez vos profils de droits. Les profils de droits suivants sont affectés à tous les utilisateurs par défaut.
$ profiles Basic Solaris User AllExemple 6-7 Répertorier les profils de droits de l'utilisateur initial
Plusieurs profils de droits sont affectés à l'utilisateur initial.
$ profiles Initial user System Administrator Audit Review ... CPU Power Management Basic Solaris User All
Pour afficher tous les attributs de sécurité affectés aux profils de l'utilisateur initial, utilisez l'option –l.
$ profiles -l Initial user | more Initial user: System Administrator profiles=Install Service Management,Audit Review,Extended Accounting Flow Management,Extended Accounting Net Management,Extended Accounting Process Management,Extended Accounting Task Management,Printer Management,Cron Managem ent,Device Management,File System Management,Log Management,Mail Management, Maintenance and Repair,Media Catalog,Name Service Management,Network Management, Project Management,RAD Management,Service Operator,Shadow Migration Monitor,So Software Installation,System Configuration,User Management,ZFS Storage Management /usr/sbin/gparted uid=0 Install Service Management auths=solaris.autoinstall.service profiles=Install Manifest Management,Install Profile Management, Install Client Management ...Exemple 6-8 Affichage du contenu de an Assigned Rights Profile
L'utilisateur initial énumère les droits accordés par le profil Audit Review (vérification d'audit).
$ profiles -l Audit Review solaris.audit.read /usr/sbin/auditreduce euid=0 /usr/sbin/auditstat privs=proc_audit /usr/sbin/praudit privs=file_dac_readExemple 6-9 Liste the Security Attributes of a Command in a Rights Profile
Cette variante de la commande profiles est utile pour voir les attributs de sécurité d'une commande dans un profil de droits qui ne vous est pas affecté.
Dans un premier temps, répertoriez les commandes dans le profil.
% profiles -p "Audit Review" info name=Audit Review desc=Review Solaris Auditing logs help=RtAuditReview.html cmd=/usr/sbin/auditreduce cmd=/usr/sbin/auditstat cmd=/usr/sbin/praudit
Ensuite, répertoriez les attributs de sécurité de l'une des commandes répertoriées dans le profil.
% profiles -p "Audit Review" "select cmd=/usr/sbin/praudit ; info; end;" select: command is read-only id=/usr/sbin/praudit privs=file_dac_read end: command is read-onlyExemple 6-10 Affichage du contenu de Rights Profiles That Are récemment créé (e) s
L'option –less affiche d'abord les profils de droits ajoutés le plus récemment. Cette variante de la commandeprofiles est utile lorsque vous créez ou modifiez les profils de droits sur votre site. La sortie suivante indique le contenu du profil qui a été ajoutée dans l'Example 4–1. Un utilisateur standard peut exécuter cette commande.
$ profiles -la | less LegacyApp /opt/legacy-app/bin/legacy-cmd euid=0 OpenLDAP...