跳到主要內容

Solaris 10利用RBAC加強root帳號安全性

Solaris有支援Rose-Based Access Control(RBAC),
以增加權限控管的彈性,新增了角色(Role)的機制。

因為系統的管理可能有多人,因此root的密碼可能被分享,
但是root是系統的超級管理員,擁有系統所有的權限,
而且登入時只以root登入,發生問題時根本無法得知身分。

所以我們可以將root由使用者身分轉變為角色,其特點如下:
1、角色不能直接登入系統,只能用su切換角色,換句話說,
   使用者只能用自己的帳號登入,不能用root登入。
2、因為只能用自已的帳號登入後再切換為root角色,
   所以可以由/var/adm/sulog得知是誰切換的。
3、就算使用者知道root角色的密碼(角色必須設定密碼),
   但是系統並未授予帳號root角色時,該帳號無法切換root。

-----------------------------------------------------------------
設定root轉換為角色方法如下:

1、新增一個使用者帳號(如已有使用者帳號可省略)
   # useradd -m -d /export/home/admin1 admin1
   # passwd admin1
2、將root由使用者身分轉變為角色
   # usermod -K type=role root
3、將root角色指派給新建立的使用者:
   # usermod -R root admin1
-----------------------------------------------------------------
 
完成之後,可以查看/etc/user_attr內的設定改變:

# grep root /etc/user_attr
root::::type=role;auths=solaris.* ...略

# grep admin1 /etc/user_attr
admin1::::type=normal;roles=root

接著我們以putty軟體,驗證root無法登入:
login as: root
Using keyboard-interactive authentication.
Password:
Access denied

只能以admin1登入後,再以su - root切換角色
login as: admin1
Using keyboard-interactive authentication.
Password:
Last login: Thu Apr  9 14:27:55 2015 from 192.168.1.39
Oracle Corporation SunOS 5.10 Generic Patch January 2005
$ su - root
Password:
# id
uid=0(root) gid=0(root)


查看/var/adm/sulog,可以發現帳號的切換情況:
SU 04/09 14:27 + pts/3 admin1-root

在設定上有一點需要特別注意,當root轉變為角色後,
最少要把一個使用者帳號加入root角色,否則一但root登出後,
因為沒有任何帳號擁有root角色,加上root角色又無法登入,
會導致無法使用root權限,只能重開到單機模式(Singel-User),
再以root身份直接登入,重新指派後再正常開機了。

---------------------------------------------------------------
還原root角色為帳號的方法如下:

1、將所有擁有root角色的使用者退出root角色:
   # usermod -R "" admin1

2、將root由角色轉換為帳號:
   # rolemod -K type=normal root
-----------------------------------------------------------------

查看/etc/user_attr內的設定改變:
# grep root /etc/user_attr
root::::type=normal;auths=solaris.*,solaris.grant ...略

從Solaris 11開始,root帳號在圖形安裝介面下預設就一定是角色了,

留言

這個網誌中的熱門文章

Line如何換行

在電腦版的Line輸入文字時,遇到需要換行的情形時,我都是用記事本先寫好再複製上去,這樣就可以有換行的效果,可是這樣的做法好像失去Line的便利性。 於是查了一下,原來有一個設定可以指定Enter換行,而不是發訊息出去。 完成設定之後,要發送訊息就改用Alt+Enter,而Enter就可以換行了。

在Windows下,利用tasklist與taskkill來刪除Process

Windows7 / Windows8 kill process Linux下要刪除某個程序通常會使用 ps 配合 kill 來刪除程序。 例如:ps -ef |grep [PROCESS NAME]       kill -9 [PID] 在Windows下,通常是開啟工作管理員來強制結束應用程式,但是如果要寫成Script,就必須改為命令式。 TASKLIST [/S system [/U username [/P [password]]]]          [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]           TASKKILL [/S system [/U username [/P [password]]]]          { [/FI filter] [/PID processid | /IM imagename] } [/T] [/F]           (Tasklist:查詢Process ; Taskkill:刪除Process)           例如要刪除已開啟的記事本(notepad): 1、查詢記事本的Process訊息     C:\> tasklist |find /i "notepad.exe"     notepad.exe      6092 Console     1     5,832 K 2、由上得知記事本的PID為6092     C:\> taskkill /f /PID 6092     成功:處理程序 PID 6092 已經終止了。     taskkill使用的參數     /f:指定此參數可強制終止處理程序     /PID:指定要終止之處理程序的 PID      3、也可以直接以程式名稱刪除     C:\ taskkill /f /im notepad.exe     成功:處理程序 "notepad.exe" <PID 6092> 已經終止了      下面是我自己測試的Script,可以刪除多個相同的程式,例如同時開啟了三個記事本: @echo off for /f &quo

Shell Script簡易教學

一、概論 在許多的情況之下,我們都需要固定一組可以重覆或判斷資訊的指令, 而把這些指令存被在文字檔中,再交由Shell執行,就是Script。 一般會將Shell Script的副檔名命名為.sh,雖然副檔名在Linux中並非必要, 但是有副檔名可以讓我們更容易管理這些檔案。 假設有一個名為test.sh 的 Shell Script,首先用文字編輯器來撰寫內容如下: #!/bin/bash echo Hello World 第一行是必需的,它是用來定義你要使用的 shell。Linux中有許多的Shell可以使用, 如:ksh、bash,但是彼此之間語法有所差異,所以我們首先需要定義使用哪一個Shell。 而第二行的 echo 代表列出一個字串,預設會把後面的字串「Hello World」顯示在螢幕上。 將test.sh存檔後,可以用下列其中一種方式執行它: 1、直接輸入 sh test.sh 2、改變test.sh的權限,加上可以執行的權限,    chmod a+x test.sh    接著直接執行它:    ./test.sh 在Shell Script中,「#」表示註解,在#後面將視為註解並且被程式忽略。 例如: #pwd ls -l Shell只會執行ls -l,而不會執行ls -l 而「;」 則代表指令的分隔,例如: pwd;ls -l 和 pwd ls -l 都是一樣執行pwd及ls -l。 二、變數的使用 在Shell Script中,所有的變數都視為字串,因此不需要在定義變數類型。 在Shell中定義和使用變數時並不一樣。 例如,定義一個變數id並且設定值為2013001,接著還要將印出變數的值: id=2013001 -> 定義變數時前面不加「$」符號 echo $id   -> 使用變數時前面要加「$」符號 注意,在等號的二邊不可以有空白,否則將出現錯誤。 再介紹一個範例: dir=/home/oracle ls $dir 這裡我們定義了變數dir的值為/home/oracle,接著用ls指令來印出變數dir, 此時指令會變為ls /home/oracle,所以就把目錄中所有檔案都列出來。 我們再來看一個例子,說明如何使用變數來定義