AIX中的RBAC.pdfVIP

AIX 中的 RBAC Zhu Jing Hong ATS team , IBM China AIX 中的 RBAC 什么是RBAC RBAC 的构成要素 如何使用RBAC 传统Unix 中系统管理的模式 Unix中的普通有户，没有任何特权 Unix 中的特殊用户root ► 是操作系统中的特权用户, 拥有所有权限 ► 系统管理员的职责 ● 安装各类软件, 备份/恢复数据, 用户管理 ● 网络配置, 开/关 机 等 ► 设置Root 用户是系统所必需, 但有系统安全隐患 ● 例如,黑客只要获取root 用户密码 就可操控整个系统 ► 系统的正常运行通常是维系在可信赖的管理员手中 ● 否则就需要将 root 用户的密码共享, 这将导致安全问题 Role Based Access Control 的特点 RBAC : Role Based Access Control 从AIX 4.2 开始引入了 RBAC , 通过使用授权 (authorizations) 和角 色确认(role verification)机制来降低 对超级用户root 的依赖 系统管理员可将部分系统管理的工作委派给非 root 用户 提供了非常细致的认证授权机制, 将特权操作与授权相联系, 用户只能执行所 授权的操作 可以根据需要创建合适的角色名, 将角色赋与需要执行特权操作的用户, 非 root 用户通过进入角色, 获得授权,完成相映的特权操作 Role Based Access Control (RBAC) 设置用户遵循 least privilege principal 在AIX 6 中又进一步增强了RBAC的功能, 可以按照客户的需要自 行定义授权. ► 与rbac有关的一系列文件存放在 /etc/security 目录下 ► 可以通过命令行的方式直接访问这些文件 或 通过 smitty rbac 进行定义 可在系统中选择是否启用 RBAC 机制, ► chdev -l sys0 -a enhanced_RBAC=true (default ) 在LDAP 和 WPARs 中都支持RBAC 机制 RBAC 的构成元素 Authorizations 授权 ► 获得执行特定命令或功能的认证许可机制, 表现为有特定含义的字 符串(系统定义或由用户自行定义) Roles 角色 ► 赋予给用户的角色名称, 其中包含有一个或多个授权, 或另一个或 多个子角色 Privileges 权限 ► 是赋给进程的特性, 使的该进程能够跨越安全检查的限制 Authorization 的定义 客户自行定义的所有授权Authorizations存放在 /etc/security/authorizations 文件中, 系统定义的授权不可以删除和 修改 Authorization 的名称最多可有 63 个字符 授权的名称是层次化的 ► 层次之间使用 . 分隔的 ● ► 系统规定授权最多可有9 层 ► 上一层授权包含所有下层的授权 与授权管理相关的常用命令: ► mkauth – 创建 authorizations ► chauth– 修改 authorizations ► lsauth– 列 authorizations 清单 ► rmauth– 删除 authorizations Authorizations in AIX Authorizations 的命名规则 device fs create Create Boot Image