Solaris User

Least Privilege（最小特権機能）でログイン時にユーザに特権を与えるには

今回は読み取り権のないファイルやディレクトリにアクセスできる file_dac_read 特権をログイン時にユーザに与える方法を紹介する。（⇒各特権の説明はこちら）
まず、以下のように一般ユーザで/etc/shadowファイルを開いてみる。
# su - user1
Sun Microsystems Inc.   SunOS 5.10      Generic January 2005
$
$
$ more /etc/shadow
/etc/shadow: アクセス権がありません。

と、まぁ当然失敗する。
そこで/etc/user_attrファイルにdefaultprivキーワードを使い、以下のようにfile_dac_read特権を適用する。
この指定でEffectiveセット、Permittedセット、Inheritableセットにfile_dac_read特権が追加される。
このほかにもlimitprivキーワードがあり、Limitセットもカスタマイズ可能だが、こちらはグローバルソーンでは一般ユーザでもデフォルトで allなので、特に権限を拡張する必要はない。

# cat /etc/user_attr
...
adm::::profiles=Log Management
lp::::profiles=Printer Management
root::::auths=solaris.*,solaris.grant;profiles=Web Console Management,All;lock_a
fter_retries=no
user1::::defaultpriv=basic,file_dac_read

上記、設定にして、もう一度、一般ユーザで/etc/shadowファイルを開いてみる。

# su - user1
Sun Microsystems Inc.   SunOS 5.10      Generic January 2005
$ more /etc/shadow
...
listen:*LK*:::::::
gdm:*LK*:::::::
webservd:*LK*:::::::
nobody:*LK*:6445::::::
noaccess:*LK*:6445::::::
nobody4:*LK*:6445::::::
user1:AxEfnuHATDQB2:12930::::::

とまぁこんな具合にアクセス権を無視して、ファイルを読み取ることが可能になる。
以下のように、pprivコマンドで現在のシェルの持っている特権を見ても E, I, P それぞれの特権セットにfile_dac_read特権が追加されていることが確認できる。

$ ppriv $$
1020:   bash
flags = <none>
        E: basic,file_dac_read
        I: basic,file_dac_read
        P: basic,file_dac_read
        L: all


RBACと絡めて特定のコマンドに限定して特権を割り当てる方法はこちら

========================================
※詳しい情報は以下のトレーニングコース参照
Solaris10新機能（システム管理編）
========================================

Solaris10最小特権(Least Privilege)機能のその他のリンク

Solaris系技術トレーニング一覧

Solaris10システム管理基本コース UNIX(Solaris10)入門 (SCSAs資格試験対応) Solaris10システム管理I (SCSA資格試験対応) Solaris10システム管理II (SCSA資格試験対応) Solaris10システム管理III (SCSA資格試験対応) Solaris10システム管理IV (SCSA資格試験対応) Solaris8/9管理者のためのSolaris10システム管理速習 Solaris10ネットワーク・インターネットサーバー管理コース Solaris10ネットワーク管理I (SCNA資格試験対応) Solaris10ネットワーク管理II (SCNA資格試験対応) Solaris10セキュアインターネットサーバ構築 セキュリティ・パフォーマンス管理・トラブルシューティング等 Solaris10 OSセキュリティ (SCSecA資格試験対応) Solaris10 新機能 Solaris10 ZFS 管理 Sun仮想化：Solaris10 コンテナ管理 Sun仮想化：Solaris10 LDoms管理 Dtraceを使ったパフォーマンスチューニングとトラブルシューティング Solaris10 トラブルシューティング Introduction to Crash Dump Analysis and the SunOS Kernel Solaris システムパフォーマンス管理 Solaris10 OSインターナル Sun Cluster、ボリューム管理ソフトウェア Sun Cluster 3.2 管理 Solaris10 ZFS 管理 Solaris Volume Manager 管理 VERITAS Volume Manager 5.0 管理 仮想化技術全般 Sun仮想化：Solaris 10 Ldoms 管理 Sun仮想化：Solaris 10 コンテナ管理 Sun Secure Global Desktop Software 4.x: Configuration and Administration Sun xVM Ops Center 2.0 Administration シンクライアント、SunRay、デスクトップソフトウェア シンクライアント入門 Sun Ray システムのインストールと管理 Sun Secure Global Desktop Software 4.x: Configuration and Administration アイデンティティマネージメントサービス Sun Java System Identity Manager: Deployment Fundamentals Sun Java Sytem Identity Manager:Development Fundamentals II Sun Java System Directory Services Enterprise Edition Sun Java System Directory Server Enterprise Edition 6: Maintenance and Operations Sun Java System Access Manager: Configuration and Customization AM-3800: Sun OpenSSO Enterprise 8.0: 導入の基本 アプリケーションサーバーとWebポータル Sun Java System Web Server 6.1: Administration and Maintenance Sun Java System Application Server SE/EE 8.1 2005Q2: Administration and Deployment Sun Java System Communication Services Administration サーバー（ハードウェア）メンテナンス Sun Fire Midrange Server Administration Sun Fire High-End Server Administration Sun StorageTek 6140 Array Installation and Maintenance Sun Desktop Systems Maintenance Sun Fire Workgroup Server Maintenance and Administration Sun Fire Midrange Server Maintenance Sun Java CAPS Sun Java CAPS eGate 5.1 開発基礎 Sun Java CAPS eGate 5.1 開発実践 MySQL MySQLデータベース管理 I MySQLデータベース管理 II