Последние статьи
DTrace: Dynamic Tracing in Oracle Solaris, Mac OS X and FreeBSD
Сертификация по Solaris
The beep
Oracle Solaris 11 Express
Sunday, April 10 2011
Сертификация по Solaris
Sunday, January 16 2011
The beep
Sunday, January 16 2011
Oracle Solaris 11 Express
Tuesday, November 16 2010
Thursday, 14 June. 2007
Раздаём привилегии в Solaris
Работать из под пользователя root конечно удобно, но не безопасно - это раз и каждый раз выполнять su или sudo, для выполнения одной команды, меня например ломает 
Поэтому расскажу, как дать повышенные привилегии простому пользователю. Мне для проверки работы сетевых интерфейсов часто приходиться запускать команду snoop. Вот какой вывод я получаю с привилегиями по умолчанию:
Поэтому расскажу, как дать повышенные привилегии простому пользователю. Мне для проверки работы сетевых интерфейсов часто приходиться запускать команду snoop. Вот какой вывод я получаю с привилегиями по умолчанию:
bash-3.00$ /usr/sbin/snoop
snoop: /dev/dmfe0: Permission denied
Решим данную проблему.
Чтобы поглядеть свои привилегии в текущем shell выполняем
bash-3.00$ ppriv -v $$
8792: -bash
flags =
E: file_link_any,proc_exec,proc_fork,proc_info,proc_session
I: file_link_any,proc_exec,proc_fork,proc_info,proc_session
P: file_link_any,proc_exec,proc_fork,proc_info,proc_session
L: contract_event,contract_observer, cpc_cpu, dtrace_kernel, dtrace_proc,dtrace_user,
file_chown,file_chown_self,file_dac_execute,file_dac_read,file_dac_search,
file_dac_write,file_downgrade_sl,file_link_any,file_owner,file_setid,file_upgrade_sl,
graphics_access,graphics_map,ipc_dac_read,ipc_dac_write,ipc_owner,net_bindmlp,
net_icmpaccess,net_mac_aware,net_privaddr,net_rawaccess,proc_audit,proc_chroot,
proc_clock_highres,proc_exec,proc_fork,proc_info,proc_lock_memory,proc_owner,
proc_priocntl,proc_session,proc_setid,proc_taskid,proc_zone,sys_acct,sys_admin,sys_audit,
sys_config,sys_devices,sys_ipc_config,sys_linkdir,sys_mount,sys_net_config,sys_nfs,
sys_res_config,sys_resource,sys_suser_compat,sys_time,sys_trans_label,win_colormap,
win_config,win_dac_read,win_dac_write,win_devices,win_dga,win_downgrade_sl,win_fontpath,
win_mac_read,win_mac_write,win_selection,win_upgrade_sl
Чтобы посмотреть каких привилегий мне не хватает исполняем команду ppriv в режиме отладчика
bash-3.00$ ppriv -eD /usr/sbin/snoop
snoop[8809]: missing privilege "net_rawaccess" (euid = 585, syscall = 5) for "devpolicy" needed at spec_open+0xd4
snoop: /dev/dmfe0: Permission denied
-bash-3.00$
Из вывода видно что не хватает привилегии net_rawaccess , так же в этом можно убедиться исполнив
bash-3.00$ truss /usr/sbin/snoop
execve("/usr/sbin/snoop", 0xFFBFFE0C, 0xFFBFFE14) argc = 1
.....
.....
stat("/dev/dmfe0", 0xFFBFF6C0) = 0
open("/dev/dmfe0", O_RDWR) Err#13 EACCES [net_rawaccess]
fstat64(2, 0xFFBFE408) = 0
....
Вывод показывает, что пользователю не хватает привилегии net_rawaccess.
Значит необходимо её дать данному пользователю, для этого переходим в режим суперпользователя(su).
Задаём привилегии пользователю admin:
root@test:~# usermod -K defaultpriv=basic,net_rawaccess admin
UX: usermod: admin is currently logged in, some changes may not take effect until next login.
Видим, что изменить привилегии админу не удалось и они вступят в силу при следующем входе в систему,т.к.
из под админа я перешёл в режим суперпользователя.
Убеждаемся, что привилегии действительно добавлены:
root@test:~# cat /etc/user_attr
#
# Copyright (c) 2003 by Sun Microsystems, Inc. All rights reserved.
#
# /etc/user_attr
#
# user attributes. see user_attr(4)
#
#pragma ident "@(#)user_attr 1.1 03/07/09 SMI"
#
adm::::profiles=Log Management
lp::::profiles=Printer Management
root::::auths=solaris.*,solaris.grant;profiles=Web Console Management,All;lock_after_retries=no
admin::::type=normal;defaultpriv=basic,net_rawaccess
root@test:~#
Теперь открываем новую сессию от пользователя admin и проверяем привилегии
-bash-3.00$ ppriv -v $$
8830: -bash
flags =
E: file_link_any,net_rawaccess,proc_exec,proc_fork,proc_info,proc_session
I: file_link_any,net_rawaccess,proc_exec,proc_fork,proc_info,proc_session
P: file_link_any,net_rawaccess,proc_exec,proc_fork,proc_info,proc_session
L: contract_event,contract_observer,cpc_cpu,dtrace_kernel,dtrace_proc,dtrace_user,
file_chown,file_chown_self,file_dac_execute,file_dac_read,file_dac_search,file_dac_write,
file_downgrade_sl,file_link_any,file_owner,file_setid,file_upgrade_sl,graphics_access,graphics_map,
ipc_dac_read,ipc_dac_write,ipc_owner,net_bindmlp,net_icmpaccess,net_mac_aware,net_privaddr,
net_rawaccess,proc_audit,proc_chroot,proc_clock_highres,proc_exec,proc_fork,proc_info,
proc_lock_memory,proc_owner,proc_priocntl,proc_session,proc_setid,proc_taskid,proc_zone,
sys_acct,sys_admin,sys_audit,sys_config,sys_devices,sys_ipc_config,sys_linkdir,sys_mount,
sys_net_config,sys_nfs,sys_res_config,sys_resource,sys_suser_compat,sys_time,sys_trans_label,
win_colormap,win_config,win_dac_read,win_dac_write,win_devices,win_dga,win_downgrade_sl,
win_fontpath,win_mac_read,win_mac_write,win_selection,win_upgrade_sl
Пробуем исполнить:
-bash-3.00$ /usr/sbin/snoop
Using device /dev/dmfe0 (promiscuous mode)
nbadmin.my.local -> test TCP D=22 S=1532 Ack=1195115507 Seq=3633069593 Len=0 Win=65415
nbadmin.my.local -> test TCP D=22 S=1532 Push Ack=1195115507 Seq=3633069593 Len=52 Win=65415
Из вывода видно, что выданные привилегии работают это нам и требовалось.
Кстати их можно не только давать, но и отнимать:
# usermod -K defaultpriv=basic,!priv-name username
Только нельзя отменять proc_fork или proc_exec без этих привилегий пользователь не сможет использовать систему.
Вот вкратце рассказал про механизм, а уж что и кому раздавать дело каждого
Манипулировать привилегиями можно и через Role-Based Access Control (RBAC), но это уже материалы
для другой статьи.
Обратные ссылки
URI этой записи для создания обратных ссылок (trackback)
Нет обратных ссылок
Комментарии
Показывать комментарии
(Как список | Древовидной структурой)
Just a small addition:
Make sure that the target network device permission is set to 666.
1. Clarify network interface device:
# ifconfig -a
lo0:
flags=2001000849 mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
bge0: flags=1000843 mtu 1500 index 2
inet 10.200.144.17 netmask ff000000 broadcast
10.255.255.255
ether 0:16:36:8e:9:8c
..so bge0 is our device name.
2. Check network device permissions:
# ls -laL /dev/bge0
crw------- 1 root sys 162, 1 Jun 1 14:09 /dev/bge0
3. Configure new permissions to allow non-root user to use snno/tcpdump on that interface (chmod 666):
# cd /dev/
# ls -la bge0
lrwxrwxrwx 1 root root 66 Apr 25 14:54 bge0 ->
../devices/pci@0,0/pci10de,378@d/pci1166,103@0/pci108e,534b@4:bge0
# cd ../devices/pci@0,0/pci10de,378@d/pci1166,103@0/
# chmod g+rw,o+rw pci108e,534b@4:bge0
# ls -laL /dev/bge0
crw-rw-rw- 1 root sys 162, 1 Jun 1 14:09 /dev/bge0
Make sure that the target network device permission is set to 666.
1. Clarify network interface device:
# ifconfig -a
lo0:
flags=2001000849 mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
bge0: flags=1000843 mtu 1500 index 2
inet 10.200.144.17 netmask ff000000 broadcast
10.255.255.255
ether 0:16:36:8e:9:8c
..so bge0 is our device name.
2. Check network device permissions:
# ls -laL /dev/bge0
crw------- 1 root sys 162, 1 Jun 1 14:09 /dev/bge0
3. Configure new permissions to allow non-root user to use snno/tcpdump on that interface (chmod 666):
# cd /dev/
# ls -la bge0
lrwxrwxrwx 1 root root 66 Apr 25 14:54 bge0 ->
../devices/pci@0,0/pci10de,378@d/pci1166,103@0/pci108e,534b@4:bge0
# cd ../devices/pci@0,0/pci10de,378@d/pci1166,103@0/
# chmod g+rw,o+rw pci108e,534b@4:bge0
# ls -laL /dev/bge0
crw-rw-rw- 1 root sys 162, 1 Jun 1 14:09 /dev/bge0
Как видно из вывода ls в моем комментарии - это не дефолтные пермишены... Я столкнулся с этим на сервере T1000 (Niagara).
$ cat /etc/release
Solaris 10 6/06 s10s_u2wos_09a SPARC
Copyright 2006 Sun Microsystems, Inc. All Rights Reserved.
Use is subject to license terms.
Assembled 09 June 2006
$ uname -a
SunOS valdez 5.10 Generic_125100-04 sun4v sparc SUNW,Sun-Fire-T1000
Кстати, а есть какой-нибудь способ дать право raw_netaccess не конкретному пользователю, а группе.
Я не нашел как это можно сделать...
$ cat /etc/release
Solaris 10 6/06 s10s_u2wos_09a SPARC
Copyright 2006 Sun Microsystems, Inc. All Rights Reserved.
Use is subject to license terms.
Assembled 09 June 2006
$ uname -a
SunOS valdez 5.10 Generic_125100-04 sun4v sparc SUNW,Sun-Fire-T1000
Кстати, а есть какой-нибудь способ дать право raw_netaccess не конкретному пользователю, а группе.
Я не нашел как это можно сделать...
В следующих релизах это дефолтовые пермишены. Я проверил раньше действительно были так как вы говорите. Видимо Sun постоянно что-то меняет 
Как сделать для группы? Сейчас затрудняюсь ответить, думаю что возможно через RBAC, нужно смотреть.
Как сделать для группы? Сейчас затрудняюсь ответить, думаю что возможно через RBAC, нужно смотреть.
pfexec command
pfexec -P privspec command [ arg ] ...
Например, pfexec cp xorg.conf.new /etc/X11/xorg.conf.
http://docs.sun.com/app/docs/doc/816-5165/pfexec-1?a=view
pfexec -P privspec command [ arg ] ...
Например, pfexec cp xorg.conf.new /etc/X11/xorg.conf.
http://docs.sun.com/app/docs/doc/816-5165/pfexec-1?a=view
Категории
Быстрый поиск
Календарь
|
February '12 | |||||
| Mon | Tue | Wed | Thu | Fri | Sat | Sun |
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | ||||
