/etc/security/prof_attr.d/armor
ARMOR 可定义许多角色,并为每个角色配置管理功能。
审计管理员
“审计管理员”角色可配置系统的审计和日志记录策略。其中包括每个用户的属性以及系统范围的属性。该角色可以查看审计迹。同时,还可以指定远程审计和日志记录策略。
文件系统管理员
“文件系统管理员”角色可创建并启用文件系统。与可用性相关的操作包括:指定挂载策略、共享策略、配额、压缩、RAID 和文件系统格式。该角色还可以对文件系统进行归档,并指定归档策略。
软件包管理员
“软件包管理员”角色可安装、更新和删除系统软件。其中可能包括:将系统升级到新版本或将其恢复为以前的版本。可以对该角色进行限制,以便仅从经过批准的系统信息库或介质装入软件。
安全管理员
“安全管理员”角色可向用户和角色分配非缺省权限。这些权限可能包括组和角色中的成员身份、授权、特权和安全许可。该角色可以为新帐户分配口令并对锁定的帐户解锁。同时,还可以为系统对象分配非缺省安全属性。这些属性可能包括安全标签、访问控制列表、所有权和成员身份。
服务管理员
“服务管理员”角色可启用、配置和禁用系统服务。该角色可指定网络属性(如 IP 地址和路由)以及防火墙策略。该角色可指定本地和远程客户机可以使用的服务以及服务配置属性。
系统操作员
“系统操作员”角色可运行系统诊断并执行例行系统维护。这些任务可能包括清除日志文件和打印队列、关闭系统和重新启动系统以及使硬件联机或脱机。
用户管理员
“用户管理员”角色可创建、修改和删除缺省安全设置所定义的用户帐户。该角色还可以使用缺省安全设置创建其他角色。该角色不能管理口令。其中可能包括管理非本地用户。
查看 useradm 角色的权限配置文件:
profiles useradm
通过 sysop 角色的安全属性查看授权和命令的详细信息:
profiles -l sysop示例 2 为用户分配 ARMOR 角色
为用户 alice 分配 secadm 角色:
usermod -R+secadm alice示例 3 显示分配的角色
显示分配给用户 bob 的角色(包括 ARMOR 角色):
roles bob示例 4 承担 ARMOR 角色
如果活动用户分配有 svcadm 角色:
su - svcadm
每个 ARMOR 角色的起始目录都是 /export/home 中的一个 ZFS 数据集。
有关下列属性的说明,请参见 attributes(5):
|
attributes(5)、profiles(1)、rbac_chkauth(3C)、roles(1)、su(1M)、usermod(1M)