|
|
|
Publicité ' | |||||||||||||||||||||||
16/12/2010, 11h26
|
#1 |
|
Membre à l'essai
 Inscription : avril 2004 Messages : 103  |
Limiter un utilisateur sous AIX
Bonjour,
Il m'a été demandé de limiter les droits d'un utillisateur comme suit: . Accéder seulement à un filesystem de tel sorte qu'avec ce user, la commande df -g ne montre par exemple que ce filesystem .Limiter son droit de faire su sur un autre user. Merci de votre aide. Je suis ouvert aussi à toute autre limitation de ce genre. |
|
00
|
|
16/12/2010, 22h49
|
#2 |
|
Membre Expert
   Ingénieur développement logiciels Inscription : octobre 2008 Messages : 1 375 |
Ce n'est pas possible. Par contre tu devrais regarder du côté des WPARs (Workload Partions), je pense que ça peut répondre à ton besoin.
|
|
|
00
|
|
17/12/2010, 10h03
|
#3 |
  
R&D en systemes informatiques bas niveau Unix/Linux Inscription : mai 2004 Messages : 5 464 |
Bonjour,
On te le demande dans le cadre d'un exercice (cadre scolaire par exemple), ou en entreprise ? Quelle est ta marge de manoeuvre ? Par exemple pour su, le plus simple serait de faire un script verifiant certains parametres qui, s'ils sont verifies, effectuent un appel a su, et sinon refusent l'appel. Mais faire ce script suppose que les utilisateurs ne peuvent plus acceder a la commande su, ce qui est un autre probleme autrement plus complexe. |
|
|
00
|
|
17/12/2010, 10h19
|
#4 |
|
Membre Expert
Ingénieur développement logiciels Inscription : octobre 2008 Messages : 1 375 |
En fait pour le "su" je pense que le plus propre serait de supprimer tous les droits d'exécution sur le fichier /usr/bin/su, puis d'utiliser RBAC pour permettre à certains utilisateurs d'exécuter la commande. En gros il faut que tu créé une autorisation, un rôle auquel tu donnes l'autorisation, puis de remplacer accessauths=ALLOW_ALL par accessauths=ton_autorisation pour la commande /usr/bin/su. Ensuite tu donnes aux users de ton choix la permission d'assumer le rôle que tu as créé (attribut "roles"). Tu peux même leur donner authomatiquement le rôle en question (attributs "roles" + "default_roles").
Regarde du côté des commandes mkauth, mkrole, setsecattr, chuser, setkst. |
|
|
00
|
|
20/12/2010, 16h14
|
#5 |
|
Membre à l'essai
Inscription : avril 2004 Messages : 103 |
Merci Matafan et Gangsoleil
 Il s'agit dans le cadre de l'entreprise. Svp, serait-il plus simple de limiter le groupe de mon utilisateur pour qu'il ne puisse pas accéder par su aux users d'autres groupes? Merci. 
|
|
|
00
|
|
20/12/2010, 18h20
|
#6 | |
|
R&D en systemes informatiques bas niveau Unix/Linux Inscription : mai 2004 Messages : 5 464 |
Bonjour,
Citation:
Matafan te donne ce qui est a priori la seule solution possible : retirer tous les droits directs sur su, afin que personne ne puisse plus appeler la commande directement, et ensuite ajouter un mecanisme permettant a certains d'utiliser tout de meme la commande. |
|
|
|
00
|
|
24/12/2010, 18h13
|
#7 |
|
Membre chevronné
 Inscription : septembre 2004 Messages : 598 |
Une idée comme ca : virer su et ne faire que du ssh. Ainsi on n'échange les clés qu'entre les users que l'on souhaite. C'est peut-être bourrin mais ca doit être efficace, non ?
@+ Mr6 |
|
|
00
|
|
31/12/2010, 11h33
|
#8 | |
|
R&D en systemes informatiques bas niveau Unix/Linux Inscription : mai 2004 Messages : 5 464 |
Citation:
Ca supprime l'acces a root, et ca pose le probleme de savoir ce qui se passe si le serveur SSH tombe, puisque seul root peut le relancer. |
|
|
|
00
|
|
03/01/2011, 16h00
|
#9 |
 Inscription : mars 2004 Messages : 1 298 |
de memoire (c'est deja vieux) sous AIX, :
Pour su cela fait partie de la creartion du user de l'autoriser ou non a utiliser su (ou a etre sué d'ailleurs). Pour l'acces au filesystem, je suis moi sur, mais il me semble bien que via le groupe utilisateur, on peut autoriser l'acces au file system que a certain group, ou l'interdire. (voir smit ?) |
|
|
00
|
Copyright © 2000-2012 - www.developpez.com