net_rawaccess 特権で一般ユーザに snoop コマンドを実行させる～Solaris User

トップページ » Solaris10最小特権(Least Privilege)機能 » net_rawaccess 特権で一般ユーザに snoop コマンドを実行させる

カテゴリー

最新ニュース記事
お勧めトレーニングコース
Solaris関連書籍
Solaris認定資格
Solaris豆知識
Solarisデスクトップ設定
■Solaris10
zone　FMA　SMF　ZFS
DTrace　NFSv4　IPFilter
Least Privilege機能
x86/x64 Solaris　仮想化技術
その他
■システム管理
インストール　セキュリティチェック
■各種サーバ構築
Apache　BIND　sendmail　squid
■各種サーバ・ストレージ管理
Sun N1 Software
Sun Cluster
Solaris Volume Manager (SVM)
■セキュリティ設定
snort　sshd　nmap　IPSec
■パフォーマンス管理
カーネルパラメータ
TCP/IP系パラメータ
NICドライバ系パラメータ

Solaris10対応コース

■Solaris初心者向け
入門コース　
システム管理Ⅰ　（x86版はこちら）
システム管理Ⅱ　（x86版はこちら）
システム管理Ⅲ　（x86版はこちら）
システム管理Ⅳ　（x86版はこちら）
ネットワーク管理Ⅰ
ネットワーク管理Ⅱ

■経験者・上級者向け
Solaris10トラブルシューティング ★NEW★
セキュアインターネットサーバー構築 ★NEW★
Solaris 10 ZFS 管理
Solaris 10コンテナ(ゾーン)
経験者向け速習コース
Solaris10新機能（システム管理編）
Solaris10新機能（ネットワーク編）
Solaris パフォーマンス管理
DTrace を使ったパフォーマンスチューニングとトラブルシューティング

Solaris 8/9 対応コース

■初心者向け
認定試験対策コース
UNIX入門
システム管理Ⅰ
システム管理Ⅱ
システム管理Ⅲ
ネットワーク管理基礎

■経験者・上級者向け
トラブルシューティング基礎
OSセキュリティ for Solaris
Solaris ネットワーク侵入検知
Sun Ray システムのインストールと管理 ★NEW★
Sun Systems Fault Analysis Workshop
Crash Dump Analysis and the SunOS Kernel
Solarisインターナル(内部構造)

■DNS,Apache,プロキシ,メール系
Solaris10インターネットサーバー構築 ★NEW★
インターネットサーバ構築
インターネットサーバセキュリティ

■ボリューム管理、クラスタ系
Solaris Volume Manager 管理
VERITAS Volume Manager4.0管理
Sun Cluster 3.x 管理
Sun Cluster 3.2 管理 ★NEW★

■ハードウェア、メンテナンス系
Sun Fireサーバー管理
Sun Fire 15K サーバー管理

■シェルプログラミング系
Cシェルプログラミング
Bシェル/Kシェルプログラミング

SunJavaSystemコース

■アイデンティティ管理
アイデンティティ管理（基本編）
アイデンティティ管理（応用編）
アクセスマネージャー
■LDAPサーバ、メールサーバ
ディレクトリサービス 5.x
メッセージングサービス 5.x

net_rawaccess 特権で一般ユーザに snoop コマンドを実行させる

Solaris10では、net_rawaccess 特権を一般ユーザに与えることで snoop コマンドの実行を許可することができる。
Solaris 9 以前でもRBAC機能を使えば、 root 権限での snoop コマンドの実行を一般ユーザに許可することは容易だが、Solaris10 では必要最低限の特権を与えることで、セキュリティリスクを最小化してこのようなニーズに対応することが可能になっている。（→最小特権機能と呼ばれている）

その他の特権の一覧はこちら

■　一般ユーザの追加（任意）
以下のように net_rawaccess 特権を与えるユーザー test を作成する。

bash-3.00# useradd -d /export/home/test -m -s /bin/bash test

■　特権の割り当て
以下のように test ユーザーのデフォルト特権を変更する。
下記の例では一般ユーザのデフォルトの特権である basic に net_rawaccess を加えている。

bash-3.00# usermod -K defaultpriv=basic,net_rawaccess test

※basic 特権とはエイリアスみたいなもので、実は下記５つの特権の集合を表している。
file_link_any, proc_exec, proc_fork, proc_info, proc_session
上記コマンドで /etc/user_attr ファイルに以下のエントリが追加される。
（usermod コマンドを使用せずに /etc/user_attr ファイルを直接編集してもよい）

bash-3.00# more /etc/user_attr
...
test::::type=normal;defaultpriv=basic,net_rawaccess

■　動作確認
以下のようにユーザー test に変更して、動作を確認する。

bash-3.00# su - test
-bash-3.00$ ppriv $$
22451: -bash
flags = <none>
        E: basic,net_rawaccess
        I: basic,net_rawaccess
        P: basic,net_rawaccess
        L: all

上記の結果からわかるように、現在のシェル(bash)にちゃんと net_rawaccess という特権が与えられている。

-bash-3.00$ /usr/sbin/snoop
Using device /dev/hme (promiscuous mode)
...
...

このように一般ユーザに簡単に snoop コマンドが実行させることができる。

========================================
※詳しい情報は以下のトレーニングコース参照
Solaris10新機能（システム管理編）
========================================

【アンケート】
この記事はためになりましたか？
　　　はい　　/　　いいえ