Em determinadas circunstâncias, alguns privilégios básicos podem ser removidos do conjunto básico de um usuário regular ou convidado. Por exemplo, usuários do Sun Ray podem ser impedidos de verificar o status dos processos que não pertencem a eles.
Before You Begin
Você deve assumir a função root. Para obter mais informações, consulte Using Your Assigned Administrative Rights no Securing Users and Processes in Oracle Solaris 11.2 .
Os três privilégios básicos a seguir são prováveis candidatos à remoção.
% ppriv -lv basic file_link_any Allows a process to create hardlinks to files owned by a uid different from the process' effective uid. ... proc_info Allows a process to examine the status of processes other than those it can send signals to. Processes which cannot be examined cannot be seen in /proc and appear not to exist. proc_session Allows a process to send signals or trace processes outside its session. ...
Qualquer usuário que tente usar o sistema tem esses privilégios negados. Esse método de remoção de privilégios pode ser apropriado para um computador disponível publicamente.
# pfedit /etc/security/policy.conf ... #PRIV_DEFAULT=basic PRIV_DEFAULT=basic,!file_link_any,!proc_info,!proc_session
# usermod -K 'defaultpriv=basic,!file_link_any' user
# usermod -K 'defaultpriv=basic,!proc_info' user
# usermod -K 'defaultpriv=basic,!proc_session' user
# usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user
Essa proteção se aplica a qualquer usuário ou sistema onde você atribua esse perfil de direitos.
# profiles -p shared-profile -S ldap shared-profile: set defaultpriv=basic,!file_link_any,!proc_info,!proc_session ...
Para obter mais informações sobre a criação de perfis de direitos, consulte Creating Rights Profiles and Authorizations no Securing Users and Processes in Oracle Solaris 11.2 .
Se você tiver muitos usuários que compartilham um perfil de direitos, como usuários remotos ou do Sun Ray, definir esse valor em um perfil de direitos pode ser uma solução escalável.
# usermod -P shared-profile username
Também é possível atribuir o perfil por sistema no arquivo policy.conf.
# pfedit /etc/security/policy.conf ... #PROFS_GRANTED=Basic Solaris User PROFS_GRANTED=shared-profile,Basic Solaris User
See also
Para obter mais informações, consulte o Capítulo 1, About Using Rights to Control Users and Processes, no Securing Users and Processes in Oracle Solaris 11.2 e a página man privileges(5).