rmsecattr 命令
用途
从数据库中除去有关命令、设备、特权文件或域指派对象的安全属性定义。
语法
描述
rmsecattr 命令从相应数据库中除去由 Name 参数标识的命令、设备、文件条目或域指派对象的安全属性。 此命令将 Name 参数解释成命令、设备、文件条目或者域指派对象,这取决于您是指定了 -c 标志(命令)、-d 标志(设备)、-f 标志(特权文件)还是 -o 标志(域指派对象)。 如果指定 -c 标志,那么 Name 参数必须包含到命令的完整路径,并且命令此时必须在 /etc/security/privcmds 特权命令数据库中具有条目。
如果指定了 -d 标志,那么 Name 参数必须指定设备的完整路径,并且,该设备当时在 /etc/security/privdevs 特权设备数据库中必须有一个条目。
如果指定 -f 标志,那么 Name 参数必须具有到文件的完整路径,并且文件在 /etc/security/privfiles 特权文件数据库中具有条目。
如果指定了 -o 标志,并且对象类型是文件或设备,那么 Name 参数必须指定完整路径,并且该对象在 /etc/security/domobjs 域指派对象数据库中必须有一个条目。
如果将系统配置为使用多个域中的数据库,那么 rmsecattr 命令将按照 /etc/nscontrol.conf 文件中相应数据库节的 secorder 属性所指定的顺序从数据库域中查找第一个匹配项。 同时,rmsecattr 命令从域中除去那条命令或设备条目。 如果其余的域中存在任何其他的匹配条目,他们将不受影响。 使用 -R 标志从特定域中除去条目。
对于权限数据库做出的修改将不用于安全考虑,直到使用 setkst 命令将这些数据库发送到内核安全表。
标志
| 项 | 描述 |
|---|---|
| -c | 指定,当使用 Name 参数时,到系统上在特权命令数据库中具有条目的命令的完整路径。 |
| -d | 指定当使用 Name 参数时,到系统上在特权设备数据库中具有条目的设备的完整路径。 |
| -f | 指定当使用 Name 参数时到系统上特权文件的完整路径。 |
| -O | 与 Name 参数配合使用时,指定域指派对象数据库中指定的对象。 |
| -R 加载模块 | 指定可载入模块用于删除 Name 条目。 |
参数
| 项 | 描述 |
|---|---|
| 名称 | 要修改的对象。 对 Name 参数的解释视您指定的 -c、-d、-f 或 -o 标志不同而有所变化。 |
安全性
rmsecattr 命令是特权命令。 其所有者为 root 用户和安全性组,其方式设置为 755。 必须具备至少一个以下权限来运行命令:
| 项 | 描述 |
|---|---|
| aix.security.cmd.remove | 必须拥有此权限才能使用 -c 标志来除去命令的安全属性。 |
| aix.security.device.remove | 必须拥有此权限才能使用 -d 标志来除去设备的安全属性。 |
| aix.security.dobject.remove | 必须拥有此权限才能使用 -o 标志来除去域指派对象的安全属性。 |
| aix.security.file.remove | 必须拥有此权限才能使用 -f 标志来除去文件的安全属性。 |
RBAC 用户注意: 此命令可以执行特权操作。 只有特权用户才能执行特权限定的操作。 有关权限与特权的更多信息,请参阅安全性中的“特权限定的命令数据库”。 有关与该命令相关联的特权和权限的列表,请参阅 lssecattr 命令或 getcmdattr 子命令。
访问的文件
| 文件 | 方式 |
|---|---|
| /etc/security/domobjs | rw |
| /etc/security/privcmds | rw |
| /etc/security/privdevs | rw |
| /etc/security/privfiles | rw |
示例
- 要从组中移除 MSP 及其所有 IP 地址,/usr/sbin/mytest来自特权命令数据库的命令,请输入:
rmsecattr -c /usr/sbin/mytest - 要从组中移除 MSP 及其所有 IP 地址,/dev/mydev特权设备数据库中的设备,类型:
rmsecattr -d /dev/mydev - 要从组中移除 MSP 及其所有 IP 地址,/dev/mydev来自 LDAP 中的特权设备数据库的设备,类型:
rmsecattr -R LDAP -d /dev/mydev - 要从特权文件数据库中除去 /etc/testconf
文件,请输入:
rmsecattr -f /etc/testconf - 要除去网络接口,请执行以下操作:en0从域对象数据库中,输入:
rmsecattr -o objectype=netint en0