База данных привилегированных файлов

Многие файлы конфигурации системы в традиционных системах UNIX принадлежат пользователю root, и другие пользователи не могут напрямую изменять их. RBAC позволяет пользователю изменять эти файлы конфигурации системы путем активации роли и запуска команды, позволяющей получить привилегии, необходимые для изменения файла.

У некоторых файлов конфигурации AIX нет интерфейсов команд, позволяющих их изменять. В этих случаях необходим инструмент, позволяющий администратору с соответствующими правами доступа непосредственно редактировать и сохранять такие файлы, недоступные ему иными способами.

База данных привилегированных файлов предоставляет способ определения доступа к файлам конфигурации системы с помощью прав доступа. Если эта база данных хранится локально, то она содержится в файле /etc/security/privfiles. Эта база данных отображает файлы конфигурации в права доступа, необходимые для просмотра или изменения этих файлов. Доступ к файлу конфигурации контролируется в этой базе данных следующими атрибутами:
readauths
Список прав на чтение из файла
writeauths
Список прав на запись в файл (права на чтение в этом случае подразумеваются)
Просматривать записи в базе данных привилегированных файлов можно командой lssecattr, а создавать и изменять - командой setsecattr. Уполномоченные пользователи могут получать доступ к файлам, определенным в базе данных привилегированных файлов, с помощью команды /usr/bin/pvi. Команда pvi - это привилегированная, служебная версия редактора vi, основанная на команде /usr/bin/tvi. На команду pvi распространяются все те же меры предосторожности, что и на команду tvi (например, запрещены флаги –r и -t, esc-символы оболочки, пользовательские макросы), а также следующие ограничения:
  • Система должна находиться в расширенном режиме RBAC.
  • Можно открывать только файлы, определенные в базе данных привилегированных файлов.
  • В каждый момент времени может быть открыт только один файл.
  • Запись в файл, отличный от указанного в командной строке, отключена.
  • Файл /etc/security/privfiles нельзя редактировать командой pvi.
  • Открывать ссылки нельзя. Редактировать можно только обычные файлы.

Права доступа проверяются до открытия файла. Если права доступа соответствуют требованиям, то в набор привилегий процесса добавляется PV_DAC_R или PV_DAC_W (в зависимости от того, открывается файл для чтения или для записи). Если права доступа не соответствуют требованиям, то выдается сообщение об ошибке и пользователь получает отказ в доступе к файлу с помощью команды pvi.