返回
了解 aix 高级特性- 简便的基于角色的访问控制

了解 aix 高级特性- 简便的基于角色的访问控制

ID:9722207

大小:66.50 KB

页数:8页

时间:2018-05-06

了解 aix 高级特性- 简便的基于角色的访问控制_第1页
了解 aix 高级特性- 简便的基于角色的访问控制_第2页
了解 aix 高级特性- 简便的基于角色的访问控制_第3页
了解 aix 高级特性- 简便的基于角色的访问控制_第4页
了解 aix 高级特性- 简便的基于角色的访问控制_第5页
资源描述:

《了解 aix 高级特性- 简便的基于角色的访问控制》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、了解AIX高级特性:简便的基于角色的访问控制  简介  过去,由单一用户(root用户)控制系统的安全机制。root用户决定谁可以登录、谁可以访问数据、哪些进程有权进入内核模式等。但是,单一root用户的缺点是,如果未经授权的人控制了根用户,系统就非常容易受到攻击。  为了避免这个问题,AIX的最新版本(5.3TL07和6.1)引入了RBAC和多级安全性(MLS)等新的安全特性,还在传统的基于root用户的身份验证中增加了其他特性,比如TrustedExecution(TE)、EncryptedF

2、ileSystem(EFS)等。  本文通过示例解释如何理解和应用RBAC和MLS等新特性。  安全管理概述  传统机制  RBAC  传统机制  可以使用DAC(DiscretionaryAccessControl,自主访问控制)控制对数据的访问(按进程/文件关系)。但是,具有所有特权的root用户是单一用户。root用户可以进行任何访问控制和执行任何操作。这可能造成严重的安全威胁。  另外,root用户常常担任系统管理员、安全官(维护安全策略)和系统操作员(执行日常活动)等许多职位。由单一用户

3、控制系统,其他用户完全无法控制系统中的活动。  RBAC可以把root用户的角色和授权分配给多个用户。本文解释RBAC如何改进系统的安全性。  RBAC  传统的AIX系统具有有限的授权集,可以使用它们决定对某些管理命令的访问。下面的示例显示pass.boot.shutdoationSystemSecurityOfficer)  SO,系统操作员(SystemOperator)  SA,安全管理员(SecurityAdministrator)  下表定义这些用户的角色和授权:  表1.预定义用户的

4、预定义角色用户角色责任ISSOISSO  建立和维护安全策略  为用户设置密码  网络配置  设备配置SOSO  系统关机和重新引导  文件系统备份、恢复和限额  系统错误日志记录、跟踪和统计  工作负载管理SASA  用户管理,不包括密码  文件系统管理  软件安装和更新  网络守护进程管理和设备分配  命令和示例  下表给出一些命令的详细信息,帮助您了解如何使用授权和角色。  表2.命令的详细信息任务命令创建授权mkauth(auth_name)或smittyrbac->Authoriz

5、ations->AddanAuthorization->AuthorizationName检验授权lsauth把命令与授权关联起来setsecattr-caccessauths=(auth_name)(mand)创建角色mkroleauthorizations=(auth_name)(rolename)把角色与用户关联起来chuserroles=(role_name)(username)  使用setkst更新内核表与激活角色相关的操作rolelist-a[检查与登录会话的用户相关联的

6、角色]  se)[切换以激活角色]  rolelist-e[检查会话中哪个角色是激活的]  请通过以下示例了解这些命令:  如何作为testuser执行shutdokauth test_auth  setsecattr -c accessauths=test_auth shutdokrole authorizations=test_auth test_role  chuser roles=test_role testuser  setkst  步骤 B:执行   作为 testuser 登录  使

7、用以下命令切换到 test_role 角色:  skuser (user_name) 4. 作为 so 登录 5. se)   这说明如何分配角色和授权,以及在没有正确授权的情况下很难篡改活动。  如何挂载文件系统   1. 作为 isso 登录  a. sount: ar 14 2008 /usr/sbin/lsconf   具有DAC特权的任何人都可以执行lsconf。有意思的是,lsconf命令在内部执行bootinfo等命令,而bootinfo命令是一个特权命令。这意味着用户需要授权和特权

8、才能执行bootinfo。因此,没有所需授权的用户无法执行bootinfo。  bootinfo示例   命令: bootinfo -k  授权和特权: $ lssecattr -c '.boot.info innateprivs=PV_DAC_R, PV_DAC_AC_,PV_MIC secflags=FSF_EPS DAC 权限: $ ls -l '.bootinfo分配给用户,这个用户应该能够执行bootinfo命令。但是,DAC不允许任何非root用户执行这

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。