Si ha instalado Network Manager como usuario no root y desea ejecutar Network Manager mientras ha iniciado la sesión como usuario no root que ha instalado el producto, u otro usuario del mismo grupo, debe ejecutar el script setup_run_as_setuid_root.sh. Los procesos que debe
ejecutar como root tendrán su permiso setuid
cambiado para que se ejecuten como root incluso cuando los haya
iniciado un usuario
no root. Este procedimiento tiene implicaciones de seguridad y no debe realizarse en un servidor en el que puedan iniciar sesión usuarios que no son de confianza.
Si no puede ejecutar archivos binarios con un UID de root por motivos de seguridad, ejecute el script setup_run_as_capabilities.sh en su lugar, sólo en plataformas Linux .
Nota: Para que este script funcione correctamente, debe haber iniciado la sesión como root al ejecutarlo. Ejecute los scripts de entorno de Network Manager para establecer las variables de entorno antes de ejecutar este script.
Debido a la forma en la que este script tiene que hacer que ciertas bibliotecas compartidas sean fiables, sólo se puede configurar una instalación por servidor para que la ejecute un usuario no root. Si tiene varias instalaciones de Network Manager en el mismo servidor, debe ejecutarlas todas como root.
Ejecución del script
Para ejecutar el script, utilice una línea de mandatos similar al siguiente ejemplo.
$NCHOME/precision/scripts/setup_run_as_setuid_root.sh
Opciones de línea de mandatos
Este script no tiene opciones de línea de mandatos.
Archivos y directorios que se hacen setuid root
La siguiente sección proporciona información sobre los archivos y directorios cuya configuración de seguridad se cambia cuando ITNM se instala como un usuario no root.
- x86 Linux
- En
x86 Linux, los siguientes binarios se hacen setuid root:
| Binario |
Razón para hacer setuid root |
| $NCHOME/precision/scripts/webtools/bin/ fping |
Herramienta de terceros, necesaria para abrir el socket sin procesar (https://linux.die.net/man/8/fping) Nota: Esta herramienta requiere bibliotecas de compatibilidad de 32 bits.
|
| $NCHOME/precision/scripts/webtools/bin/ nanogtraceroute |
3rd party tool, required to open raw socket Nota: Esta herramienta requiere bibliotecas de compatibilidad de 32 bits.
|
| $NCHOME/omnibus/probes/linux2x86/ nco_p_mttrapd |
Sondeo de capturas de SNMP, debe vincularse a un puerto inferior a 1024 |
| $NCHOME/omnibus/platform/linux2x86/probes64/ nco_p_mttrapd |
Sondeo de capturas de SNMP, debe vincularse a un puerto inferior a 1024 |
Los binarios siguientes en
$NCHOME/precision/platform/linux2x86/bin se hacen setuid root:
| Binario |
Razón para hacer setuid root |
| ncp_df_ping |
Se requiere root para abrir el socket sin procesar para hacer ping |
| ncp_dh_arp |
Se requiere root para abrir el puerto bajo |
| ncp_dh_ping |
Se requiere root para abrir el socket sin procesar para hacer ping |
| ncp_trapmux |
Se requiere root para abrir el puerto bajo |
| ncp_poller |
Se requiere root para abrir el socket sin procesar para hacer ping |
Los siguientes directorios son confiables, de modo que los binarios de setuid pueden buscarlos:
- $NCHOME/precision/platform/linux2x86/lib64
- $NCHOME/omnibus/platform/linux2x86/lib64
- $NCHOME/platform/linux2x86/lib64
- $NCHOME/precision/platform/linux2x86/oracle_instant_client-11.2.0.4
- $NCHOME/precision/platform/linux2x86/oracle_instant_client-12.1.0.2.0
- $NCHOME/precision/jre/bin
- $NCHOME/precision/jre/bin/j9vm
- $NCHOME/precision/jre/lib/amd64
- $NCHOME/precision/platform/linux2x86/db2-10.5.0.5/odbc_cli/clidriver/lib
- zLinux
- En
zLinux, los siguientes binarios se hacen setuid root:
| Binario |
Razón para hacer setuid root |
| $NCHOME/precision/scripts/webtools/bin/ fping |
Herramienta de terceros, necesaria para abrir el socket sin procesar (https://linux.die.net/man/8/fping) Nota: Esta herramienta requiere bibliotecas de compatibilidad de 32 bits.
|
| $NCHOME/precision/scripts/webtools/bin/ nanogtraceroute |
3rd party tool, required to open raw socket Nota: Esta herramienta requiere bibliotecas de compatibilidad de 32 bits.
|
| $NCHOME/omnibus/probes/linux2s390/ nco_p_mttrapd |
Sondeo de capturas de SNMP, debe vincularse a un puerto inferior a 1024 |
| $NCHOME/omnibus/platform/linux2s390/probes64/ nco_p_mttrapd |
Sondeo de capturas de SNMP, debe vincularse a un puerto inferior a 1024 |
Los binarios siguientes en
$NCHOME/precision/platform/linux2s390/bin se hacen setuid root:
| Binario |
Razón para hacer setuid root |
| ncp_df_ping |
Se requiere root para abrir el socket sin procesar para hacer ping |
| ncp_dh_arp |
Se requiere root para abrir el puerto bajo |
| ncp_dh_ping |
Se requiere root para abrir el socket sin procesar para hacer ping |
| ncp_trapmux |
Se requiere root para abrir el puerto bajo |
| ncp_poller |
Se requiere root para abrir el socket sin procesar para hacer ping |
Los siguientes directorios son confiables, de modo que los binarios de setuid pueden buscarlos:
- $NCHOME/precision/platform/linux2s390/lib64e
- $NCHOME/omnibus/platform/linux2s390/lib64
- $NCHOME/platform/linux2s390/lib64
- $NCHOME/precision/platform/linux2s390/oracle_instant_client-11.2.0.4
- $NCHOME/precision/platform/linux2s390/oracle_instant_client-12.1.0.2.0
- $NCHOME/precision/jre/bin
- $NCHOME/precision/jre/bin/j9vm
- $NCHOME/precision/jre/lib/s390
- $NCHOME/precision/platform/linux2s390/db2-10.5.0.5/odbc_cli/clidriver/lib
- AIX
- En
AIX, los siguientes binarios se hacen setuid root:
| Binario |
Razón para hacer setuid root |
| $NCHOME/precision/scripts/webtools/bin/ fping |
Herramienta de terceros, necesaria para abrir el socket sin procesar (https://linux.die.net/man/8/fping) Nota: Esta herramienta requiere bibliotecas de compatibilidad de 32 bits.
|
| $NCHOME/precision/scripts/webtools/bin/ nanogtraceroute |
3rd party tool, required to open raw socket Nota: Esta herramienta requiere bibliotecas de compatibilidad de 32 bits.
|
| $NCHOME/omnibus/probes/aix5/ nco_p_mttrapd |
Sondeo de capturas de SNMP, debe vincularse a un puerto inferior a 1024 |
| $NCHOME/omnibus/platform/aix5/probes64/ nco_p_mttrapd |
Sondeo de capturas de SNMP, debe vincularse a un puerto inferior a 1024 |
Los binarios siguientes en
$NCHOME/precision/platform/$arch/bin se hacen setuid root:
| Binario |
Razón para hacer setuid root |
| ncp_df_ping |
Se requiere root para abrir el socket sin procesar para hacer ping |
| ncp_dh_arp |
Se requiere root para abrir el puerto bajo |
| ncp_dh_ping |
Se requiere root para abrir el socket sin procesar para hacer ping |
| ncp_trapmux |
Se requiere root para abrir el puerto bajo |
| ncp_poller |
Se requiere root para abrir el socket sin procesar para hacer ping |
Las siguientes bibliotecas son confiables, de modo que los binarios de setuid pueden usarlas. Esto se realiza creando enlaces simbólicos a ellos desde /usr/lib.
Estas bibliotecas en
$NCHOME/precision/platform/aix5/lib64/ se han convertido en de confianza:
- libDiscoCommon.so
- libDiscoFinders.so
- libDiscoHelper.so
- libNCPBase.so
- libNCPComms.so
- libNCPMOM.so
- libNCPPort.so
- libNCPVersion.so
- libVertigo.so
- libNCPCrypt.so
- libncryptcpp.so
La biblioteca libncrypt.so en $NCHOME/platform/aix5/lib64/ se ha convertido en de confianza.