【使用角色訪問(wèn)控制讓Solaris服務(wù)器更安全】 一、角色的概述 對(duì)于傳統(tǒng)的Unix安全性模型，超級(jí)用戶擁有完全的超級(jí)用戶特權(quán)，而其他的用戶沒(méi)有足夠的權(quán)限解決他們自己的問(wèn)題 。有了基于角色的訪問(wèn)控制(RBAC)，便可以取代傳統(tǒng)的安全模型 。有了RBAC，可以將超級(jí)用戶的能力分成不同的包，并將它們分別分配給分擔(dān)管理任務(wù)的個(gè)體 。當(dāng)使用RBAC劃分超級(jí)用戶特權(quán)時(shí)，用戶可以擁有不同程度的訪問(wèn)權(quán)限，可以控制對(duì)其他用戶特權(quán)操作的授權(quán) 。RBAC包括了如下特性 。
1、角色：一種特殊類型的用戶賬號(hào)，可以用來(lái)執(zhí)行一套管理任務(wù) 。
在默認(rèn)情況下，Solaris 支持3種不同的系統(tǒng)管理角色 。
主管理員(PA，Primary Administrator)：負(fù)責(zé)為其他用戶分派權(quán)限，并負(fù)責(zé)系統(tǒng)的安全問(wèn)題 。等效于root 用戶或超級(jí)用戶的功能強(qiáng)大的角色 。
系統(tǒng)管理員(SA，System Administrator)：負(fù)責(zé)與安全無(wú)關(guān)的日常管理工作 。
操作員(Operator)：執(zhí)行備份和設(shè)備維護(hù)操作 。
PA和SA之間的區(qū)別主要取決于本地的安全策略 。例如，盡管默認(rèn)的PA角色具備添加用戶和修改口令的權(quán)限，而默認(rèn)的SA角色并不具備修改口令的權(quán)限，但在很多地方，禁止SA的口令訪問(wèn)可能是不現(xiàn)實(shí)的 。RBAC的一個(gè)最大的好處就是它可以按照本地的需求非常方便地分配權(quán)限 。
2、特征文件(profile)：一種打包機(jī)制，用特殊的屬性將授權(quán)和命令分組 。例如，使用用戶和組的ID 。
特征文件是用于授權(quán)的一個(gè)或一組特定的命令 。這些授權(quán)連接在一起形成某個(gè)角色，并隨后與某個(gè)用戶或某些不同的用戶建立關(guān)聯(lián)關(guān)系 。我們可以為每個(gè)角色創(chuàng)建一個(gè)新的用戶賬號(hào)，這些賬號(hào)擁有自己的主目錄和口令 。當(dāng)執(zhí)行特征文件中的命令時(shí)，用戶必須使用su命令進(jìn)入角色賬戶，因?yàn)檫@種角色用戶是不允許直接登錄的 。通過(guò)su命令訪問(wèn)角色賬戶與通過(guò)su命令訪問(wèn)普通賬戶的一個(gè)不同之處在于它們的審計(jì)功能，即在通過(guò)su命令訪問(wèn)某個(gè)角色時(shí)，它執(zhí)行的所有操作，連同用戶的原始UID都會(huì)被記入日志 。這樣，每個(gè)訪問(wèn)角色的用戶操作都會(huì)被明確地記入日志并進(jìn)行審計(jì) 。
3、授權(quán)：一種用來(lái)授予對(duì)受限功能的訪問(wèn)權(quán)限的權(quán)利 。
授權(quán)，就是賦予某個(gè)角色執(zhí)行某項(xiàng)操作的特權(quán)，它是在/etc/security/auth_attr文件中定義的 。授權(quán)的定義形式與Internet的域名非常相似，它的最左邊為企業(yè)名稱，隨后是依次細(xì)化的軟件包和功能內(nèi)容 。在默認(rèn)情況下，所有Solaris提供的軟件包都是由前綴Solaris來(lái)加以識(shí)別的 。比如，修改口令的授權(quán)就是Solaris.admin.usermgr.pswd，許多授權(quán)的劃分都是十分細(xì)致的，它可能只允許讀訪問(wèn)，而不允許寫(xiě)訪問(wèn)，反之也是如此 。比如，主管理員(PA)可能擁有Solaris.admin.usermgr.read和Solaris.admin.usermgr.write的授權(quán)，因而可以對(duì)用戶配置文件分別進(jìn)行讀訪問(wèn)和寫(xiě)訪問(wèn)操作 。而系統(tǒng)管理員(SA)雖然可能擁有Solaris.admin.usermgr.read授權(quán)，但他并沒(méi)有Solaris.admin.usermgr.write的授權(quán)，因此他可以讀用戶配置文件，但不能寫(xiě) 。
二、RBAC的圖形模型
在現(xiàn)實(shí)生活中經(jīng)常提到某人扮演了什么角色 。在基于用戶角色的用戶權(quán)限管理中，角色與實(shí)際的角色概念有所不同 。在這里角色可以看作是一組操作的集合，不同的角色具有不同的操作集，這些操作有系統(tǒng)管理員分配給角色 。圖1是RBAC的模型 。
圖1 RBAC的模型
角色、權(quán)限配置文件和授權(quán)的關(guān)聯(lián)如圖2所示，授權(quán)和命令的定義關(guān)聯(lián)起來(lái)構(gòu)成了權(quán)限配置文件，該權(quán)限配置文件再分派給不同的角色用戶來(lái)使用 。
圖2 角色、權(quán)限配置文件和授權(quán)的關(guān)聯(lián)
在RBAC 中，將角色指定給用戶 。用戶承擔(dān)某種角色時(shí)，便可使用此角色的功能 。角色從權(quán)限配置文件中獲取其功能 。權(quán)限配置文件可以包含授權(quán)、特權(quán)命令以及其他補(bǔ)充權(quán)限配置文件 。特權(quán)命令是指那些使用安全屬性執(zhí)行的命令 。圖3 使用操作員角色、操作員權(quán)限配置文件以及打印機(jī)管理權(quán)限配置文件來(lái)說(shuō)明RBAC的各種關(guān)系 。

推薦閱讀

• 

  水淀粉在超市叫什么 水淀粉在超市叫啥
• 

  豆芽怎么做好吃炒
• 

  什么是BOT模式？
• 

  三國(guó)殺名將傳群雄陣容 群雄陣容搭配
• 

  垃圾箱分幾種顏色
• 

  谷子種植方法 谷子怎么種
• 

  薄荷檸檬水的正確泡法
• 

  夢(mèng)見(jiàn)爆發(fā)內(nèi)戰(zhàn) 夢(mèng)見(jiàn)爆發(fā)內(nèi)戰(zhàn)什么意思
• 

  快手怎么評(píng)論別人作品
• 

  3dsmax是什么
• 

  中國(guó)招標(biāo)投標(biāo)網(wǎng)全名叫什么,招標(biāo)投標(biāo)與采購(gòu)專業(yè)信息服務(wù)平臺(tái)
• 

  凱的奧義技能叫什么,奧義技能釋放心得
• 

  德國(guó)什么便宜_德國(guó)特產(chǎn)什么最有名
• 

  現(xiàn)在軟件工程師特別吃香,軟件工程師工資
• 

  廈門農(nóng)夫山泉招聘，農(nóng)夫山泉理貨員的待遇怎么樣
• 

  醫(yī)院設(shè)分院有什么規(guī)定 推動(dòng)醫(yī)院分院要怎么做

• 錘子手機(jī)閃念膠囊使用方法 閃念膠囊功能如何開(kāi)啟？
• Solaris 補(bǔ)丁管理器
• 談?wù)勛约旱?110使用感受
• 輕顏相機(jī)怎么使用
• Superpads fade教程 Superpads怎么使用
• 使用j300c的心得
• 幾天來(lái)使用6030的有感——給想購(gòu)買6030的朋們
• 絕地求生手游助手怎么綁定角色
• 小鳴單車退余額的方法 小鳴單車余額怎么退？
• K700C使用一周總結(jié)