Least Privilege（最小特権機能）でログイン時にユーザに特権を与えるには～Solaris User

トップページ » Solaris10最小特権(Least Privilege)機能 » Least Privilege（最小特権機能）でログイン時にユーザに特権を与えるには

カテゴリー

最新ニュース記事
お勧めトレーニングコース
Solaris関連書籍
Solaris認定資格
Solaris豆知識
Solarisデスクトップ設定
■Solaris10
zone　FMA　SMF　ZFS
DTrace　NFSv4　IPFilter
Least Privilege機能
x86/x64 Solaris　仮想化技術
その他
■システム管理
インストール　セキュリティチェック
■各種サーバ構築
Apache　BIND　sendmail　squid
■各種サーバ・ストレージ管理
Sun N1 Software
Sun Cluster
Solaris Volume Manager (SVM)
■セキュリティ設定
snort　sshd　nmap　IPSec
■パフォーマンス管理
カーネルパラメータ
TCP/IP系パラメータ
NICドライバ系パラメータ

Solaris10対応コース

■Solaris初心者向け
入門コース　
システム管理Ⅰ　（x86版はこちら）
システム管理Ⅱ　（x86版はこちら）
システム管理Ⅲ　（x86版はこちら）
システム管理Ⅳ　（x86版はこちら）
ネットワーク管理Ⅰ
ネットワーク管理Ⅱ

■経験者・上級者向け
Solaris10トラブルシューティング ★NEW★
セキュアインターネットサーバー構築 ★NEW★
Solaris 10 ZFS 管理
Solaris 10コンテナ(ゾーン)
経験者向け速習コース
Solaris10新機能（システム管理編）
Solaris10新機能（ネットワーク編）
Solaris パフォーマンス管理
DTrace を使ったパフォーマンスチューニングとトラブルシューティング

Solaris 8/9 対応コース

■初心者向け
認定試験対策コース
UNIX入門
システム管理Ⅰ
システム管理Ⅱ
システム管理Ⅲ
ネットワーク管理基礎

■経験者・上級者向け
トラブルシューティング基礎
OSセキュリティ for Solaris
Solaris ネットワーク侵入検知
Sun Ray システムのインストールと管理 ★NEW★
Sun Systems Fault Analysis Workshop
Crash Dump Analysis and the SunOS Kernel
Solarisインターナル(内部構造)

■DNS,Apache,プロキシ,メール系
Solaris10インターネットサーバー構築 ★NEW★
インターネットサーバ構築
インターネットサーバセキュリティ

■ボリューム管理、クラスタ系
Solaris Volume Manager 管理
VERITAS Volume Manager4.0管理
Sun Cluster 3.x 管理
Sun Cluster 3.2 管理 ★NEW★

■ハードウェア、メンテナンス系
Sun Fireサーバー管理
Sun Fire 15K サーバー管理

■シェルプログラミング系
Cシェルプログラミング
Bシェル/Kシェルプログラミング

SunJavaSystemコース

■アイデンティティ管理
アイデンティティ管理（基本編）
アイデンティティ管理（応用編）
アクセスマネージャー
■LDAPサーバ、メールサーバ
ディレクトリサービス 5.x
メッセージングサービス 5.x

Least Privilege（最小特権機能）でログイン時にユーザに特権を与えるには

今回は読み取り権のないファイルやディレクトリにアクセスできる file_dac_read 特権をログイン時にユーザに与える方法を紹介する。（⇒各特権の説明はこちら）
まず、以下のように一般ユーザで/etc/shadowファイルを開いてみる。
# su - user1
Sun Microsystems Inc.   SunOS 5.10      Generic January 2005
$
$
$ more /etc/shadow
/etc/shadow: アクセス権がありません。

と、まぁ当然失敗する。
そこで/etc/user_attrファイルにdefaultprivキーワードを使い、以下のようにfile_dac_read特権を適用する。
この指定でEffectiveセット、Permittedセット、Inheritableセットにfile_dac_read特権が追加される。
このほかにもlimitprivキーワードがあり、Limitセットもカスタマイズ可能だが、こちらはグローバルソーンでは一般ユーザでもデフォルトで allなので、特に権限を拡張する必要はない。

# cat /etc/user_attr
...
adm::::profiles=Log Management
lp::::profiles=Printer Management
root::::auths=solaris.*,solaris.grant;profiles=Web Console Management,All;lock_a
fter_retries=no
user1::::defaultpriv=basic,file_dac_read

上記、設定にして、もう一度、一般ユーザで/etc/shadowファイルを開いてみる。

# su - user1
Sun Microsystems Inc.   SunOS 5.10      Generic January 2005
$ more /etc/shadow
...
listen:*LK*:::::::
gdm:*LK*:::::::
webservd:*LK*:::::::
nobody:*LK*:6445::::::
noaccess:*LK*:6445::::::
nobody4:*LK*:6445::::::
user1:AxEfnuHATDQB2:12930::::::

とまぁこんな具合にアクセス権を無視して、ファイルを読み取ることが可能になる。
以下のように、pprivコマンドで現在のシェルの持っている特権を見ても E, I, P それぞれの特権セットにfile_dac_read特権が追加されていることが確認できる。

$ ppriv $$
1020:   bash
flags = <none>
        E: basic,file_dac_read
        I: basic,file_dac_read
        P: basic,file_dac_read
        L: all

RBACと絡めて特定のコマンドに限定して特権を割り当てる方法はこちら

========================================
※詳しい情報は以下のトレーニングコース参照
Solaris10新機能（システム管理編）
========================================

【アンケート】
この記事はためになりましたか？
　　　はい　　/　　いいえ

→ 交通発展に協力する ← → 環境改善に協力する ←

Sun社提供情報

docs.sun.com
SunSolve Online
BigAdmin [ 日本語版 ]
Solarisフォーラム
OpenSolaris 【ソースコード入手】
ジョナサン・シュワルツのブログ

Solarisパッケージダウンロード

Sun Download Center
Sunfreeware.com

Sunマシンは買うには

ぷらっとオンライン
UNIX本舗

blogs.sun.com

◆ Solaris トレーニングガイド
◆ やっぱり Sun がスキ！
◆ 岡崎 - Okazaki's blog
◆ ヨッシーブログ
◆ Masaki Katakai's Weblog

お勧めサイト

◆ Brendan Gregg's Page
◆ いつも心に太陽を。
◆ ノートPCにSolarisを

ブックマーク

◆ トラベルナビ Travel Navi
◆ マンションデータベース
◆ sukaima-ku