Roles (RBAC) Solaris 10

(RBAC) Role-based access control

Un role es una identificacion especial para ejecutar una aplicacion con ciertos privilegios

Privilegios: representan privilegios basicos por el kernel
Autorizacion: Es un permiso que puede ser asignado a un role

Configuracion:

No existe una configuracion Global para habilitar o deshabilitar los privilegios, cada proceso tiene su manera de hacerlo.

Introduccion:

/etc/user_attr:
Contiene informacion de usuario y rol que se complementa de /etc/passwd y /etc/shadow, lista los profiles y autorizaciones asociadas con determinado rol

Estructura:

user:qualifier:res1:res2:attr

user: Nombre del usuario como en el passwd
qualifier: Reservado para uso futuro
res1: Reservado para uso futuro
res2: Reservado para uso futuro
attr: Describe los atributos de seguridad que van a ser aplicados: (type, auths,roles y profiles)

/etc/security/prof_attr
Define los profiles asignados a la autorizacion
El profile consiste en un nombre, descripcion, autorizacion

Estructura:
profname:res1:res2:desc:attr

profname: Nombre del profile
res1: Reservado para uso futuro
res2: Reservado para uso futuro
desc: Descripcion detallada, el propocito del profile
attr: Describe los atributos de seguridad que se van a aplicar

/etc/security/exec_attr
Atributos de ejecucion, para definir las operaciones

Estructura:

name:policy:type:res1:res2:id:attr

name: Nombre del profile
policy: Politica de seguridad
type: Tipo de entidad, (cmd) command
res1: Reservado para uso futuro
res2: Reservado para uso futuro
id: Un asterisco identifica la entidad (full path)
attr: Describe los atributos de seguridad que se van a aplicar

/etc/security/auth_attr
Atributos de autorizacion permite acceso a una funcion restringida
No es posible crear nuevas autorizaciones

Estructura:

authname:res1:res2:short_desc:long_des:attr

authname: cadena que identifica la autentificacion
“solaris. * ”
res1: Reservado para uso futuro
res2: Reservado para uso futuro
short_desc: nombre consizo de autorizacion
long_des: Descripcion detallada
attr: Describe los atributos de seguridad que se van a aplicar

EJEMPLO

1) crear un role “sdown”.

-bash-3.00# roleadd -u 5000 -g 10 -m -d /export/home/sdown sdown
64 blocks
-bash-3.00# passwd sdown
New Password:
Re-enter new Password:
passwd: password successfully changed for sdown

2) Crear un profile llamado sdown

-bash-3.00# vi /etc/security/prof_attr

Shut:::Puede dar de baja el systema:

3) Agregar el profile al Role:

-bash-3.00# rolemod -P Shut,All sdown

4) verificar que el role ha sido incluido en el archivo  /etc/user_attr

-bash-3.00# more /etc/user_attr

5) Crear un usuario llamado user9 y asignar acceso al role sdown
darle al usuario el ID 4009 y grupo 10

-bash-3.00# useradd -u 4009 -g 10 -m -d /export/home/user9 -s /bin/bash -R sdown user9
64 blocks
-bash-3.00# passwd user9
New Password:
Re-enter new Password:
passwd: password successfully changed for user9

6) Verificar atributos del role para user9

-bash-3.00# grep user9 /etc/user_attr
user9::::type=normal;roles=sdown

7) Asignar el comando “shutdown” al profile

-bash-3.00# vi /etc/security/exec_attr

Shut:suser:cmd:::/usr/sbin/shutdown:uid=0

8) Para comprobar la configuracion loggear como user9

9) desde este usuario apagar el equipo

-bash-3.00$ /usr/sbin/shutdown -i 6 -g 0
/usr/sbin/shutdown:  Only root can run /usr/sbin/shutdown

10) Ejecutar el comando profile para determinar el RBAC asociados con ese usuario

-bash-3.00$ profiles
Basic Solaris User
All

11)  Ejecutar el comando roles para determinar el role asignado
-bash-3.00$ roles
sdown

12)  Asumir el role sdown

-bash-3.00$ su – sdown
Password:

13) Shut down el sistema con el comando init 0
$ /usr/sbin/init 0
bootadm: you must be root to run this program
Must be super-user
NOTA: no tiene permisos para el init

14) Listar los comandos que sdown puede ejecutar

$ profiles -l

Shut:
/usr/sbin/shutdown    uid=0
All:
*
15) dar de baja el equipo

-bash-3.00$ /usr/sbin/shutdown -i 6 -g 0

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s