Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Пример использования политики ролевого доступа




В качестве примера использования RBAC рассмотрим создание нового пользователя обладающего правами только на перезагрузку системы, и не на что более. Рассмотрим пошагово действия, которые необходимо осуществить для создания такого пользователя.

Шаг 1. Выполните шаги 1-4 из предыдущей лабораторной работы.

Шаг 2. Для начала добавим нового пользователя с именем «baseuser», с помощью команды «useradd -m -d /export/home/baseuser baseuser» и зададим ему новый пароль (к примеру: 123), с помощью команды «passwd baseuser» как показано на рисунке 14.

Рис. 14 Добавление нового пользователя

Шаг 3. Теперь необходимо удостоверится в создании пользователя и задании ему пароля путем поиска строки с именем пользователя «baseuser» в файле «/etc/passwd». Сделать это можно с помощью команды «grep baseuser /etc/passwd», как показано на рисунке 15. Если пользователь создан то строка будет найдена и командный интерпретатор выдаст строку следующего формата «baseuser:x:102:1::/export/home/baseuser:/bin/sh».

Рис. 15 Проверка создания пользователя

Шаг 4. Проверим, действительно ли у пользователя «baseuser» нет прав на перезагрузку системы. Для этого войдем в систему как пользователь «baseuser», используя команду «su baseuser» и попробуем выполнить команду «reboot», система должна ответить отказом «reboot: permission denided». Для возврата к правам пользователя «root» выполните команду «exit», как показано на рисунке 16.

Рис. 16 Проверка прав baseuser

 

Шаг 5. Далее создадим в системе роль с именем «reboot», с помощью команды «roleadd -m -d /export/home/reboot reboot» и зададим пароль например «321» для роли используя команду «passwd reboot», как показано на рисунке 17.

Рис. 17 Создание роли в системе

 

Шаг 6. Теперь необходимо удостоверится в создании роли и задании ей пароля путем поиска строки с именем роли «reboot» в файле «/etc/passwd». Сделать это можно с помощью команды «grep reboot /etc/passwd», как показано на рисунке 18. Если роль создана, то строка будет найдена и командный интерпретатор выдаст, строку следующего формата «reboot:x:5008:1::/export/home/reboot:/bin/pfsh». Обратите внимание на командный интерпретатор (/bin/pfsh). Этот шелл позволяет пользователю выполнять команду в профиле. Это не тот командный интерпретатор, с помощью которого вы можете войти в систему.

 

Рис. 18 Проверка создания роли

 

Шаг 7. Присоединим пользователя “baseuser” к роле “reboot”, с помощью команды «usermod -R reboot baseuser», а затем выполните поиск строки содержащей «baseuser» в файле «/etc/user_attr» используя команду «grep baseuser /etc/user_attr», как показано на рисунке 19. Обратите внимание на ключ «-R», он находится в верхнем регистре – командный интерпретатор чувствителен к регистру.

Рис. 19 Присоединение пользователя к роли

Шаг 8. Создадим новый профиль REBOOT. Воспользуемся командой «echo "REBOOT:::profile to reboot:help=reboot.html">\/etc/security/prof_attr», как показано на рисунке 20.

 

Рис. 20 Создание профиля

 

Шаг 9. Соединим профиль “REBOOT” с ролью “reboot” и удостоверимся в установленных ассоциациях используя команды «rolemod -P REBOOT reboot» и «grep reboot /etc/user_attr», как показано на рисунке 21.

Рис. 21 Соединение профиля с ролью

 

Шаг 10. Итак, у нас есть пользователь “baseuser” ассоциированный с ролью “reboot”. Роль “reboot” имеет профиль “REBOOT”. Нам осталось сделать так, чтобы профиль (REBOOT) разрешал роле (reboot) выполнить /usr/sbin/reboot с UID 0. Воспользуемся следующей командой «echo "REBOOT:suser:cmd:::/usr/sbin/reboot:euid=0">\/etc/security/exec_attr», как показано на рисунке 22.

Рис. 22 Задание разрешений профилю

Шаг 11. Теперь “baseuser” может переключиться под роль “reboot” и запустить /usr/sbin/reboot для перезагрузки машины, однако из административных задач пользователю «baseuser» разрешена только перезагрузка, выполнение например команды «ifconfig» будет запрещено. Переключимся под пользователя «baseuser» используя команду «su baseuser», а затем войдем в роль «reboot» командой «su reboot». Попробуем выполнить команду «ifconfig», на что система ответит отказом как показано на рисунке 23.

Рис. 23 Проверка прав пользователя

Шаг 12. Введите команду «reboot» и система перезагрузится.

 




Поделиться с друзьями:


Дата добавления: 2014-12-26; Просмотров: 417; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.027 сек.