Unter bestimmten Umständen können einige Basisberechtigungen aus einem Basissatz für normale Benutzer oder Gastbenutzer entfernt werden. Beispiel: Sun Ray-Benutzer werden möglicherweise daran gehindert, den Status von Vorgängen zu prüfen, deren Eigentümer sie nicht sind.
Bevor Sie beginnen
Sie müssen die root-Rolle übernehmen. Weitere Informationen finden Sie unter Using Your Assigned Administrative Rights in Securing Users and Processes in Oracle Solaris 11.2 .
Die nachstehenden drei Basisberechtigungen müssen möglicherweise entfernt werden.
% ppriv -lv basic file_link_any Allows a process to create hardlinks to files owned by a uid different from the process' effective uid. ... proc_info Allows a process to examine the status of processes other than those it can send signals to. Processes which cannot be examined cannot be seen in /proc and appear not to exist. proc_session Allows a process to send signals or trace processes outside its session. ...
Benutzern, die versuchen, auf das System zuzugreifen, werden diese Berechtigungen nicht erteilt. Diese Art der Entfernung von Berechtigungen kann für einen öffentlich zugänglichen Rechner angemessen sein.
# pfedit /etc/security/policy.conf ... #PRIV_DEFAULT=basic PRIV_DEFAULT=basic,!file_link_any,!proc_info,!proc_session
# usermod -K 'defaultpriv=basic,!file_link_any' user
# usermod -K 'defaultpriv=basic,!proc_info' user
# usermod -K 'defaultpriv=basic,!proc_session' user
# usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user
Dieser Schutz gilt für alle Benutzer oder Systeme, für die Sie dieses Rechteprofil zuweisen.
# profiles -p shared-profile -S ldap shared-profile: set defaultpriv=basic,!file_link_any,!proc_info,!proc_session ...
Weitere Informationen zur Erstellung von Rechteprofilen finden Sie unter Creating Rights Profiles and Authorizations in Securing Users and Processes in Oracle Solaris 11.2 .
Wenn zahlreiche Benutzer ein Rechteprofil gemeinsam verwenden (Beispiel: Sun Ray- oder Remote-Benutzer), kann das Einrichten dieses Wertes in einem Rechteprofil eine akzeptable Lösung sein.
# usermod -P shared-profile username
Sie können das Profil auch in der Datei policy.conf für jedes System einzeln zuweisen.
# pfedit /etc/security/policy.conf ... #PROFS_GRANTED=Basic Solaris User PROFS_GRANTED=shared-profile,Basic Solaris User
Siehe auch
Weitere Informationen finden Sie in Kapitel 1, About Using Rights to Control Users and Processes in Securing Users and Processes in Oracle Solaris 11.2 sowie auf der Manpage privileges(5).