Commande rmsecattr
Objectif
Supprime la définition des attributs de sécurité d'une commande, d'une unité, d'un fichier avec privilèges ou d'un objet attribué à un domaine de la base de données.
Syntaxe
Descriptif
La commande rmsecattr supprime les attributs de sécurité d'une commande, d'une unité, d'une entrée de fichier ou d'un objet attribué à un domaine identifié par le paramètre Nom à partir de la base de données appropriée. La commande interprète le paramètre Nom comme une commande, une unité, une entrée de fichier ou un objet attribué à un domaine en fonction de l'indicateur utilisé : -c (commande), -d (unité), -f (fichier avec privilèges) ou -o (objet attribué à un domaine). Si l'indicateur -c est spécifié, le paramètre Nom doit inclure le chemin complet de la commande, et la commande doit, à ce moment, posséder une entrée dans la base de données des commandes avec privilèges /etc/security/privcmds.
Si vous spécifiez l'indicateur -d, le paramètre Nom doit inclure le chemin complet de l'unité, et l'unité doit, à ce moment, posséder une entrée dans la base de données des unités avec privilèges /etc/security/privdevs.
Si vous spécifiez l'indicateur -f, le paramètre Nom doit inclure le chemin complet du fichier, et le fichier doit, à ce moment, posséder une entrée dans la base de données des fichiers avec privilèges /etc/security/privfiles.
Si vous spécifiez l'indicateur -o, le paramètre Nom doit inclure le chemin complet si le type d'objet est file ou device, et il doit posséder une entrée dans la base de données des objets attribués à un domaine /etc/security/domobjs.
Si le système est configuré pour utiliser des bases de données provenant de plusieurs domaines, la commande rmsecattr recherche la première correspondance dans les domaines des bases de données en suivant l'ordre spécifié par l'attribut secorder de la section Base de données correspondante du fichier /etc/nscontrol.conf. Entre-temps, la commande rmsecattr supprime cette entrée de commande ou d'unité du domaine. Si des entrées correspondantes existent dans les autres domaines, elles ne sont pas affectées. Utilisez l'indicateur -R pour supprimer une entrée d'un domaine spécifique.
Les modifications apportées par cette commande ne sont pas utilisées pour des raisons de sécurité, tant que les bases de données n'ont pas été envoyées aux tables KST à l'aide de la commande setkst.
Indicateurs
| Article | Descriptif |
|---|---|
| -c | Lorsqu'il est utilisé avec le paramètre Nom, indique les chemins complets d'une ou de plusieurs commandes sur le système, qui possèdent des entrées dans la base de données des commandes à privilèges. |
| -d | Lorsqu'il est utilisé avec le paramètre Nom, indique les chemins complets d'une ou de plusieurs unités sur le système, qui possèdent des entrées dans la base de données des unités à privilèges. |
| -f | Lorsqu'il est utilisé avec le paramètre Nom, indique le chemin complet d'un fichier avec privilèges sur le système. |
| -o | Lorsqu'il est utilisé avec le paramètre Nom, indique un objet tel que spécifié dans la base de données des objets attribués à un domaine. |
| -R module_chargement | Indique le module chargeable à utiliser pour la suppression de l'entrée Nom. |
Paramètres
| Article | Descriptif |
|---|---|
| nom | Indique l'objet à modifier. Le paramètre Nom est interprété selon les indicateurs -c, -d, -f ou -o que vous avez spécifiés. |
Security
La commande rmsecattr est associée à des privilèges. Elle est la propriété de l'utilisateur racine et du groupe de sécurité, avec le mode défini sur 755. Vous devez disposer d'au moins l'une des autorisations suivantes pour exécuter la commande :
| Article | Descriptif |
|---|---|
| aix.security.cmd.remove | Nécessaire pour supprimer les attributs de sécurité d'une commande à l'aide de l'indicateur -c. |
| aix.security.device.remove | Nécessaire pour supprimer les attributs de sécurité d'une unité à l'aide de l'indicateur -d. |
| aix.security.dobject.remove | Nécessaire pour supprimer les attributs de sécurité d'un objet attribué à un domaine à l'aide de l'indicateur -o. |
| aix.security.file.remove | Nécessaire pour supprimer les attributs de sécurité d'un fichier à l'aide de l'indicateur -f. |
Utilisateurs RBAC d'attention: cette commande peut effectuer des opérations privilégiées. Seuls les utilisateurs privilégiés peuvent exécuter des opérations privilégiées. Pour plus d'informations sur les autorisations et les privilèges, consultez la base de données des commandes privilégiées disponible dans Sécurité. Pour la liste des privilèges et autorisations associés à cette commandes, reportez-vous à la commande lssecattr ou à la sous-commande getcmdattr.
Fichier accédé
| Fichier | aff |
|---|---|
| /etc/security/domobjs | rw |
| /etc/security/privcmds | rw |
| /etc/security/privdevs | rw |
| /etc/security/privfiles | rw |
Exemples
- Pour supprimer la/usr/sbin/mytestcommande à partir de la base de données des commandes avec privilèges, entrez:
rmsecattr -c /usr/sbin/mytest - Pour supprimer la/dev/mydevà partir de la base de données des unités privilégiées, entrez:
rmsecattr -d /dev/mydev - Pour supprimer la/dev/mydevà partir de la base de données des unités privilégiées dans LDAP, entrez:
rmsecattr -R LDAP -d /dev/mydev - Pour supprimer le fichier /etc/testconf de la base de données des fichiers avec privilèges, entrez :
rmsecattr -f /etc/testconf - Pour supprimer l'interface réseauen0à partir de la base de données d'objets domainés, entrez:
rmsecattr -o objectype=netint en0