En determinadas circunstancias, se pueden eliminar algunos privilegios básicos de un conjunto básico de usuario invitado o regular. Por ejemplo, podría evitarse que los usuarios Sun Ray examinen el estado de los procesos que no les pertenecen.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Los siguientes tres privilegios básicos son posibles candidatos para eliminación.
% ppriv -lv basic file_link_any Allows a process to create hardlinks to files owned by a uid different from the process' effective uid. ... proc_info Allows a process to examine the status of processes other than those it can send signals to. Processes which cannot be examined cannot be seen in /proc and appear not to exist. proc_session Allows a process to send signals or trace processes outside its session. ...
A cualquier usuario que intenta usar el sistema se le niega estos privilegios. Este método de eliminación de privilegios puede ser adecuado para un equipo disponible públicamente.
# pfedit /etc/security/policy.conf ... #PRIV_DEFAULT=basic PRIV_DEFAULT=basic,!file_link_any,!proc_info,!proc_session
# usermod -K 'defaultpriv=basic,!file_link_any' user
# usermod -K 'defaultpriv=basic,!proc_info' user
# usermod -K 'defaultpriv=basic,!proc_session' user
# usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user
Esta protección se aplica a cualquier usuario o sistema al que se asigna este perfil de derechos.
# profiles -p shared-profile -S ldap shared-profile: set defaultpriv=basic,!file_link_any,!proc_info,!proc_session ...
Para obtener más información sobre cómo crear perfiles de derechos, consulte Creación de perfiles de derechos y autorizaciones de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Si tiene muchos usuarios que comparten un perfil de derechos, como usuarios Sun Ray o remotos, definir este valor en un perfil de derechos puede ser una solución escalable.
# usermod -P shared-profile username
También puede asignar el perfil por sistema en el archivo policy.conf.
# pfedit /etc/security/policy.conf ... #PROFS_GRANTED=Basic Solaris User PROFS_GRANTED=shared-profile,Basic Solaris User
Véase también
Para obtener más información, consulte el Capítulo 1, Sobre el uso de los derechos para controlar los usuarios y los procesos de Protección de los usuarios y los procesos en Oracle Solaris 11.2 y la página del comando man privileges(5).