| Security Tips | ||
 |
SolarisのRBAC機能でsudoを置き換える たかはしもとのぶ |
|
ユーザーに一部のコマンドだけをroot権限(あるいはそのほかの特定のアカウントの権限)で実行させたいという場合に用いられる便利なフリーソフトにsudoがある。しかし、Solaris 8以降ではRBAC(Role Based Access Control)に含まれる機能で、ほぼ同様のことが実現できる。
Solaris 9の場合について、具体的な方法について説明する。なおRBACの全体像については、「Solarisのシステム管理(セキュリティサービス)」中の
17. 役割によるアクセス制御(概要)を参照してほしい。
18. 役割によるアクセス制御(手順)
19. 役割によるアクセス制御(参照)
以下、説明のため、/usr/bin/idをmonyoというアカウントに限り、uid=0/gid=0で実行する場合を例に取り、具体的な設定方法を示す。
(1)/etc/security/prof_attrに以下の行を追加
run-id:::Rights for running
id:help=dummy.html |
「run-id」は権利プロファイル名で、任意の文字列である。「Rights for running id」は任意の内容のコメントである。
(2)/etc/security/exec_attrに以下のようなエントリを追加
run-id:suser:cmd:::/usr/bin/id:uid=0;gid=0 |
「/usr/bin/id」は実行ファイルのパスである。
(3)/etc/user_attrで以下のように設定
monyo::::type=normal;profiles=run-id |
設定を行った後、以下のようにして実行する。
monyo$ pfsh -c /usr/bin/id |
pfshにの代わりにpfkshやpfcshの利用も可能だ。
なお単にidコマンドを実行すれば、次のようになるはずだ。
monyo$ /usr/bin/id |
上記の例では、設定ファイルを直接修正する方法を紹介したが、作業ミスを削減する意味では、smc(1)からのGUIによる設定や、smprofile(1M)やsmrole(1M)といったコマンドによる設定が推奨される。また、いくつかのアカウントに対して、いくつかのコマンドの実行権限を一括して変更したいといった場合は、ロール、もしくは権利プロファイルなどの活用も考えられる。
 |
Security Tips Index |
TechTargetジャパン
- Facebook タイムライン利用時の「鉄則」 (2012/2/9)
ユーザーインターフェイスの変更措置に伴い浮上した、Facebookの「過剰な情報提供」のリスクと対策とは - 無料サービスなら通信内容を記録してもいいの? (2012/1/13)
無料の公衆無線LANサービスが、ユーザーに無断で通信履歴を記録していたことが判明し、話題に - 攻撃はまるでレーザービーム (2011/12/26)
2011年に話題となった標的型攻撃は「人」という弱点ををねらい打ちにしました。では、人に教育さえしておけば防げるものなのでしょうか? - 見せたくないなら「持たせない」が鉄則! (2011/12/15)
逆コンパイル対策で難読化したのに、大事なデータが解析されちゃった? Androidアプリのセキュリティの道は深い
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。