Solaris的pfexec等命令比較奇怪,沒搞明白如何使用,看了看原來是一套新的權限管理系統,能夠更細粒度的控制用戶權限。
其發展的一個主要原因是使用這套系統,那么就可以取消os的自帶命令置suid位。
比如想讓test用戶執行/usr/bin/sh時,權限是uid=0 euid=0,那么我們可以使用如下控制策略
在/etc/user_attr中添加: test::::type=normal;auths=solaris.*,solaris.grant;profiles=ATestProfile 在/etc/security/exec_attr中添加: ATestProfile:suser:cmd:::/usr/bin/sh:uid=0;euid=0 |
其中/usr/bin/sh這樣的命令可以使用通配符,如*
這樣我們就可以如下使用了:
bash-2.03$ id uid=1022(test) gid=1(other) bash-2.03$ pfexec /usr/bin/sh # id uid=0(root) gid=1(other) # |
這種機制顯得非常靈活。
但系統默認的Profile的權限系統有些問題,比如:
bash-2.03$ cat exec_attr All:suser:cmd:::*: Audit Control:suser:cmd:::/etc/init.d/audit:euid=0;egid=3 Audit Control:suser:cmd:::/etc/security/bsmconv:uid=0 Audit Control:suser:cmd:::/etc/security/bsmunconv:uid=0 Audit Control:suser:cmd:::/usr/sbin/audit:euid=0 Audit Control:suser:cmd:::/usr/sbin/auditconfig:euid=0 Audit Control:suser:cmd:::/usr/sbin/auditd:uid=0 Audit Review:suser:cmd:::/usr/sbin/auditreduce:euid=0 Audit Review:suser:cmd:::/usr/sbin/praudit:euid=0 Audit Review:suser:cmd:::/usr/sbin/auditstat:euid=0 |
PROG=bsmconv
STARTUP=/etc/security/audit_startup
DEVALLOC=/etc/security/device_allocate
DEVMAPS=/etc/security/device_maps
TEXTDOMAIN="SUNW_OST_OSCMD"
export TEXTDOMAIN
permission()
{
WHO=`id | cut -f1 -d" "` # <-----------看看這里
if [ ! "$WHO" = "uid=0(root)" ]
then
form=`gettext "%s: ERROR: you must be super-user to run this script."`
printf "${form}n" $PROG
exit 1
fi
|
不過好在系統默認user_attr里只有一行,
root::::type=normal;auths=solaris.*,solaris.grant;profiles=All |
以上都在Solaris 8上測試。
Solaris9仍然使用了這套系統。
