この例では、管理者がネットワークの管理にのみ役立つシステムを作成します。管理者は、/etc/security/policy.conf ファイルから Basic Solaris User 権利プロファイルとすべての承認を削除します。Console User 権利プロファイルは削除されません。結果となる policy.conf ファイルで影響を受けた行は次のとおりです。
... ##AUTHS_GRANTED= ##AUTH_PROFS_GRANTED= ##PROFS_GRANTED=Basic Solaris User CONSOLE_USER=Console User ...
承認、コマンド、または権利プロファイルが明示的に割り当てられているユーザーのみがこのシステムを使用できます。ログイン後、その承認ユーザーは管理責務を果たすことができます。承認されたユーザーがシステムコンソールの前に座っている場合、そのユーザーには Console User の権利があります。
使用例 29 リモートユーザー権利プロファイルの作成この例では、管理者は、リモートログインするユーザーのために LDAP リポジトリ内で権利プロファイルを作成します。
# profiles -p -S LDAP "Remote Users" profiles:Remote Users> set desc="For all logins from remote systems" ... Remote Users> set defaultpriv="basic,!proc_info" ... Remote Users> set limitpriv="basic,!proc_info" ... Remote Users> end ... Remote Users> exit
管理者は、内容を確認します。
# profiles -p "Remote Users" info Found profile in LDAP repository. name=Remote Users desc=For all logins from remote systems defaultpriv=basic,!proc_info, limitpriv=basic,!proc_info使用例 30 権利プロファイルからの基本特権の削除
次の例では、セキュリティー管理者は十分なテストを行なったあと、使用例 29, リモートユーザー権利プロファイルの作成で作成されたリモートユーザー権利プロファイルから別の基本特権を削除します。このプロファイルが割り当てられているユーザーは、現在のセッションの外部ではどのプロセスも検査できず、さらに別のセッションを追加することもできません。
# profiles -p "Remote Users" profiles:Remote Users> set defaultpriv="basic,!proc_info,!proc_session" profiles:Remote Users> end profiles:Remote Users> exit使用例 31 明示的に割り当てられた権利への管理者の制限
2 つの方法で、ユーザーまたは役割を限られた数の管理操作に制限できます。
ユーザーのプロファイルリストの最終プロファイルとして、Stop 権利プロファイルを割り当てます。
Stop 権利プロファイルは、制限付きシェルを作成するもっとも簡単な方法です。policy.conf ファイル内の承認と権利プロファイルは、ユーザーまたは役割には割り当てられません。
システム上の policy.conf ファイルを変更して、役割またはユーザーがそのシステムを管理タスクに使用するよう要求します。使用例 28, システムユーザーが使用できる権利を制限するように policy.conf ファイルを変更するを参照してください。
次のコマンドは、auditrev 役割を監査レビューの実行のみに制限します。
# rolemod -K profiles="Audit Review,Stop" auditrev
auditrev 役割には Console User 権利プロファイルがないため、監査担当者はシステムをシャットダウンできません。この役割には solaris.device.cdrw 承認がないため、監査担当者は CD-ROM ドライブに対して読み取りまたは書き込みを行うことができません。この役割には Basic Solaris User 権利プロファイルがないため、そのプロファイルのコマンドをこの役割で実行できません。All 権利プロファイルが割り当てられていないため、ls コマンドは実行されません。この役割は、ファイルブラウザを使用してレビューする監査ファイルを選択します。
詳細は、割り当てられた権利の検索順序および権利プロファイルのリファレンスを参照してください。
使用例 32 選択したアプリケーションによる新規プロセス生成の防止この例では、適切な動作のためにサブプロセスが不要なアプリケーションの権利プロファイルを管理者が作成します。便宜上、管理者はこれらの実行可能ファイルを保管するディレクトリを作成します。サブプロセスを必要としない新しいアプリケーションが追加されたら、実行可能ファイルをこのディレクトリに追加できます。あるいは、実行可能ファイルが特定のディレクトリに存在している必要がある場合、管理者は /opt/local/noex/app-executable からそれにリンクできます。
# profiles -p "Prevent App Subprocess" profiles:Prevent App Subprocess> set desc="Keep apps from execing processes" profiles:Prevent App Subprocess> add cmd=/opt/local/noex/mkmod ... Subprocess:mkmod> set limitprivs=all,!proc_exec ... Subprocess:mkmod> end ... Subprocess> add cmd=/opt/local/noex/gomap ... Subprocess:gomap> set limitprivs=all,!proc_exec ... Subprocess:gomap> end ... Subprocess> commit ... Subprocess> exit