歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> 更多Linux

Solaris 的 Profile 權限控制系統初探

  Solaris的pfexec等命令比較奇怪,沒搞明白如何使用,看了看原來是一套新的權限管理系統,能夠更細粒度的控制用戶權限。     其發展的一個主要原因是使用這套系統,那麼就可以取消os的自帶命令置suid位。     比如想讓test用戶執行/usr/bin/sh時,權限是uid=0 euid=0,那麼我們可以使用如下控制策略:   在/etc/user_attr中添加:   test::::type=normal;auths=solaris.*,solaris.grant;profiles=ATestProfile     在/etc/security/exec_attr中添加:   ATestProfile:suser:cmd:::/usr/bin/sh:uid=0;euid=0     這兩個修改意思是:用戶test的Profile等於ATestProfile,同時Profile為ATestProfile的用戶執行/usr/bin/sh命令時使用suid執行(suser就是這個意義),並且uid=0 euid=0。   其中/usr/bin/sh這樣的命令可以使用通配符,如*     這樣我們就可以如下使用了:   bash-2.03$ id   uid=1022(test) gid=1(other)   bash-2.03$ pfexec /usr/bin/sh   # id   uid=0(root) gid=1(other)   #     這就控制了test用戶執行/usr/bin/sh程序時的權限了。     這種機制顯得非常靈活。     但系統默認的Profile的權限系統有些問題,比如:   bash-2.03$ cat exec_attr   All:suser:cmd:::*:   Audit Control:suser:cmd:::/etc/init.d/audit:euid=0;egid=3   Audit Control:suser:cmd:::/etc/security/bsmconv:uid=0   Audit Control:suser:cmd:::/etc/security/bsmunconv:uid=0   Audit Control:suser:cmd:::/usr/sbin/audit:euid=0   Audit Control:suser:cmd:::/usr/sbin/auditconfig:euid=0   Audit Control:suser:cmd:::/usr/sbin/auditd:uid=0   Audit Review:suser:cmd:::/usr/sbin/auditredUCe:euid=0   Audit Review:suser:cmd:::/usr/sbin/praudit:euid=0   Audit Review:suser:cmd:::/usr/sbin/auditstat:euid=0     看Profile為Audit Control的用戶可以用uid=0執行/etc/security/bsmconv等命令,但這幾個命令是shell程序,內部大量使用相對路徑的命令調用:   ....   PROG=bsmconv   STARTUP=/etc/security/audit_startup   DEVALLOC=/etc/security/device_allocate   DEVMAPS=/etc/security/device_maps   TEXTDOMAIN="SUNW_OST_OSCMD"   eXPort TEXTDOMAIN     permission()   {   WHO=`id cut -f1 -d" "` # <-----------看看這裡   if [ ! "$WHO" = "uid=0(root)" ]   then   form=`gettext "%s: ERROR: you must be super-user to run this script."`   printf "${form}\n" $PROG   exit 1   fi     . . . . . . . . .     如果登記某用戶的Profile為Audit Control,那麼這個用戶就可以通過此安全漏洞取得root權限。       不過好在系統默認user_attr裡只有一行,   root::::type=normal;auths=solaris.*,solaris.grant;profiles=All     作為系統管理員,Profile系統確實給管理權限粒度提供了不少便利。     以上都在Solaris 8上測試。   Solaris9仍然使用了這套系統。




Copyright © Linux教程網 All Rights Reserved