Solaris User

net_rawaccess 特権で一般ユーザに snoop コマンドを実行させる

Solaris10では、net_rawaccess 特権を一般ユーザに与えることで snoop コマンドの実行を許可することができる。
Solaris 9 以前でもRBAC機能を使えば、 root 権限での snoop コマンドの実行を一般ユーザに許可することは容易だが、Solaris10 では必要最低限の特権を与えることで、セキュリティリスクを最小化してこのようなニーズに対応することが可能になっている。（→最小特権機能と呼ばれてい る）

その他の特権の一覧はこちら

■　一般ユーザの追加（任意）
以下のように net_rawaccess 特権を与えるユーザー test を作成する。

bash-3.00# useradd -d /export/home/test -m -s /bin/bash test

■　特権の割り当て
以下のように test ユーザーのデフォルト特権を変更する。
下記の例では一般ユーザのデフォルトの特権である basic に net_rawaccess を加えている。

bash-3.00# usermod -K defaultpriv=basic,net_rawaccess test

※basic 特権とはエイリアスみたいなもので、実は下記５つの特権の集合を表している。
file_link_any, proc_exec, proc_fork, proc_info, proc_session
上記コマンドで /etc/user_attr ファイルに以下のエントリが追加される。
（usermod コマンドを使用せずに /etc/user_attr ファイルを直接編集してもよい）

bash-3.00# more /etc/user_attr
...
test::::type=normal;defaultpriv=basic,net_rawaccess

■　動作確認
以下のようにユーザー test に変更して、動作を確認する。

bash-3.00# su - test
-bash-3.00$ ppriv $$
22451:  -bash
flags = <none>
        E: basic,net_rawaccess
        I: basic,net_rawaccess
        P: basic,net_rawaccess
        L: all

上記の結果からわかるように、現在のシェル(bash)にちゃんと net_rawaccess という特権が与えられている。

-bash-3.00$ /usr/sbin/snoop
Using device /dev/hme (promiscuous mode)
...
...

このように一般ユーザに簡単に snoop コマンドが実行させることができる。

========================================
※詳しい情報は以下のトレーニングコース参照
Solaris10新機能（システム管理編）
========================================

Solaris10最小特権(Least Privilege)機能のその他のリンク

Solaris系技術トレーニング一覧

Solaris10システム管理基本コース UNIX(Solaris10)入門 (SCSAs資格試験対応) Solaris10システム管理I (SCSA資格試験対応) Solaris10システム管理II (SCSA資格試験対応) Solaris10システム管理III (SCSA資格試験対応) Solaris10システム管理IV (SCSA資格試験対応) Solaris8/9管理者のためのSolaris10システム管理速習 Solaris10ネットワーク・インターネットサーバー管理コース Solaris10ネットワーク管理I (SCNA資格試験対応) Solaris10ネットワーク管理II (SCNA資格試験対応) Solaris10セキュアインターネットサーバ構築 セキュリティ・パフォーマンス管理・トラブルシューティング等 Solaris10 OSセキュリティ (SCSecA資格試験対応) Solaris10 新機能 Solaris10 ZFS 管理 Sun仮想化：Solaris10 コンテナ管理 Sun仮想化：Solaris10 LDoms管理 Dtraceを使ったパフォーマンスチューニングとトラブルシューティング Solaris10 トラブルシューティング Introduction to Crash Dump Analysis and the SunOS Kernel Solaris システムパフォーマンス管理 Solaris10 OSインターナル Sun Cluster、ボリューム管理ソフトウェア Sun Cluster 3.2 管理 Solaris10 ZFS 管理 Solaris Volume Manager 管理 VERITAS Volume Manager 5.0 管理 仮想化技術全般 Sun仮想化：Solaris 10 Ldoms 管理 Sun仮想化：Solaris 10 コンテナ管理 Sun Secure Global Desktop Software 4.x: Configuration and Administration Sun xVM Ops Center 2.0 Administration シンクライアント、SunRay、デスクトップソフトウェア シンクライアント入門 Sun Ray システムのインストールと管理 Sun Secure Global Desktop Software 4.x: Configuration and Administration アイデンティティマネージメントサービス Sun Java System Identity Manager: Deployment Fundamentals Sun Java Sytem Identity Manager:Development Fundamentals II Sun Java System Directory Services Enterprise Edition Sun Java System Directory Server Enterprise Edition 6: Maintenance and Operations Sun Java System Access Manager: Configuration and Customization AM-3800: Sun OpenSSO Enterprise 8.0: 導入の基本 アプリケーションサーバーとWebポータル Sun Java System Web Server 6.1: Administration and Maintenance Sun Java System Application Server SE/EE 8.1 2005Q2: Administration and Deployment Sun Java System Communication Services Administration サーバー（ハードウェア）メンテナンス Sun Fire Midrange Server Administration Sun Fire High-End Server Administration Sun StorageTek 6140 Array Installation and Maintenance Sun Desktop Systems Maintenance Sun Fire Workgroup Server Maintenance and Administration Sun Fire Midrange Server Maintenance Sun Java CAPS Sun Java CAPS eGate 5.1 開発基礎 Sun Java CAPS eGate 5.1 開発実践 MySQL MySQLデータベース管理 I MySQLデータベース管理 II