Solaris 10の最小特権機能の利用方法:UNIX処方箋
現場ですぐに役立つ知識を欲するあなたに贈る珠玉のTips集。今回は、Solaris 10に実装されている最小特権機能について解説します。
Solaris 10の最小特権機能(Least Privilege)とはどのような機能ですか? また、その利用方法を教えてもらえますか?
Solaris 10 の最小特権機能では、一般ユーザーに必要最低限の特権を与えることで、root権限でのみ実行可能なコマンドを利用できるようにします。Solaris 9のRBACやsudoコマンドを使用した場合よりも、与える特権が少なく済むため、セキュリティリスクを低く抑えられます。
一般ユーザーに与えることができる特権は、cpc_cpu、dtrance_kernel、dtrance_proc、file_chown、ipc_owner、net_rawaccess、proc_chroot、sys_acctなど計48種類あります。ここでは、一般ユーザーにNFSマウントの実行権限を与える場合を例として、この機能の設定方法を説明します。
まずrootユーザーでログインし、一般ユーザーtestを作成します。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
作成したユーザーtestでログインし、ホームディレクトリにNFSマウント先のディレクトリを作成します。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
現在の状態でNFSマウントできないことを確認します(NFSサーバのIPアドレスを10.10.10.10とする)。その後、ユーザーtestからログアウトしてrootユーザーに戻ります。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
ユーザーtestにNFSマウントの実行を許可する権限を与えます。NFSマウントの実行に必要な権限はsys_mountとnet_privaddrですので、この2つをユーザーtestに与えます。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
設定変更が反映されたかどうか、設定ファイル/etc/user_attrを確認します(リスト1)。その後、再度ユーザーtestでログインしてNFSマウントを実行し、dfコマンドで確認します(実行例1)。
# /etc/user_attr
#
# user attributes. see user_attr(4)
#
#pragma ident "@(#)user_attr 1.1 03/07/09 SMI"
#
adm::::profiles=Log Management
lp::::profiles=Printer Management
root::::auths=solaris.*,solaris.grant;profiles=Web Console Management,All;lock_after_retries=no
test::::type=normal;defaultpriv=basic,sys_mount,net_privaddr
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
関連記事
- RAID 1の再同期の速度を速くする
- Solaris 9上で、TCPを用いて接続記録やアクセス制御を行う
- Solarisマシンにおける/tmpのファイルシステム
- Solaris 9におけるCDの自動マウント
- Basic認証を用いたアクセス制御
- quotaコマンドでファイルシステムの容量制限を行う
- 電源投入時にdiagが実行される設定の解除(ALOMの設定)
- mdbコマンドでSCSIのTagged Command Queueing設定を確認
- tarアーカイブ内から、特定キーワードを含むファイルを指定してリストアする
- /etc/systemファイルの編集に失敗してマシンが起動しない場合の対処法
- Perlを用いた自動FTP転送
- iノード数の変更方法
- Solaris 8以前と9以降のログローテーション設定の違い
- HTTPSサーバを構築する
- SolarisからIPv6ルーターのようにRAを配信する
- Solstice Backup 7.1によるディスクバックアップ
- シェルスクリプトによる特定ファイルのバックアップ
- 9個以上のディスクスライス作成
- bashが起動時に実行するファイル
- acctcomコマンドによる終了ステータスの確認
- 電源制御キーの役割と無効化
- 「load average」によるCPU負荷の確認
- FTP利用でのファイル/ディレクトリの属性変更
- UFS loggingによるエラーと復旧方法
- ALOMにおけるSC用ユーザーの確認とパスワード変更
- PostgreSQLのテーブルデータをファイルへコピーする方法
- sotrussやapptraceによる実行コマンドのトレース
- TCP遅延肯定応答タイマーのタイムアウト値の変更
- 複数のマシンで効率的にシャットダウンする方法
- WWW::MechanizeモジュールによるWebアクセスの自動化
- IPv6アドレスの自動生成による不具合解消法
- キャッシュファイルを利用したNFSマウント
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.