特权文件数据库

在线编辑

传统UNIX系统中的许多系统配置文件都归根用户所有,其他用户无法直接修改。 RBAC 使用户能够通过激活角色并运行命令以获取修改这些系统配置文件所需的特权来修改文件。

有些AIX配置文件没有允许修改文件的命令界面。 在这些情况下,需要一个工具,以使具有相应权限的管理员能够直接编辑和保存他们在其他情况下无权访问的文件。

特权文件数据库提供了一种方法,以使用权限来确定对系统配置文件的访问。 当数据库存储在本地时,它包含在 /etc/security/privfiles 文件中。 该数据库将配置文件映射到查看或修改这些文件所需的权限。 对配置文件的访问在具有以下属性的数据库中进行控制:
readauths
允许从文件读取的权限的列表
writeauths
允许写入到文件的权限(在这种情况下,隐含了读取权限)的列表。
特权文件数据库中的条目可以使用 lssecattr 命令列出,也可以使用 setsecattr 命令创建或修改。 授权用户可使用 /usr/bin/pvi 命令访问在特权文件数据库中定义的文件。 pvi 命令是 vi 编辑器基于 /usr/bin/tvi 命令的特权和受限制版本。 pvi 命令可实施与 tvi 命令相同的所有安全性预防措施(例如,没有 –r-t 标志,没有 shell 转义符,没有用户定义的宏),同时实施以下限制:
  • 系统必须处于增强型 RBAC 方式
  • 仅可打开在特权文件数据库中定义的文件。
  • 一次只能打开一个文件。
  • 写入到文件名不同的文件,然后禁用在命令行上指定的文件。
  • 无法使用 pvi 命令编辑 /etc/security/privfiles 文件。
  • 打开链接的尝试将失败。 仅可编辑常规文件。

授权检查将在打开文件之前执行。 如果授权匹配,那么将增大进程的特权集合以包含 PV_DAC_RPV_DAC_W(这取决于正在打开文件以执行读取还是写入操作)。 如果授权不匹配,那么将显示错误消息,并将拒绝用户使用 pvi 命令对文件进行访问。