Archivo secvars.cfg
Finalidad
Consta de valores de configuración para diversas propiedades de seguridad del sistema.
Descripción
El archivo /etc/secvars.cfg es un archivo de stanza, donde cada nombre de stanza representa una propiedad de seguridad. Los mandatos lssec y chsec se pueden utilizar para ver y modificar los archivos. La stanza contiene los siguientes nombres de stanza:
groups
Define el comportamiento de los grupos en el sistema. Esta stanza tiene los atributos siguientes:
grupos sin dominio
Controla la configuración del sistema para fusionar los atributos de grupo del usuario desde LDAP (Lightweight Directory Access Protocol) y dominios de archivos. Sólo se admiten los archivos y los módulos LDAP. La característica domainlessgroups
reconoce si los usuarios o grupos pertenecen a los dominios soportados basándose en los valores de registro de los usuarios o grupos. Por lo tanto, el valor de registro especificado para los usuarios o grupos debe ser files
o LDAP
. El valor de registro no puede ser un módulo compuesto o un registro de compat
aunque los módulos compuestos o registros de compat
especificados puedan contener el dominio files
, el dominio LDAP
o ambos. La característica domainlessgroups
no es aplicable a valores como netgroups
que se especifican para el parámetro options para el módulo LDAP. El módulo LDAP se define en el archivo /etc/methods.cfg .
domainlessgroups
.- Verdadero
- Cuando este atributo se establece en true, se puede asignar a un usuario grupos de los dominios LDAP y de archivos simultáneamente, independientemente del dominio del usuario. El usuario debe pertenecer a los dominios LDAP o de archivo.
Por ejemplo, a los usuarios definidos en LDAP se les pueden asignar los grupos locales y viceversa.
- No
- Cuando este atributo se establece en false, sólo se pueden asignar grupos a los usuarios desde el dominio donde existe la definición de usuario. El valor predeterminado es false.
- Si el servidor LDAP está inactivo o no se puede acceder a él, y esta variable se establece en verdadero, algunas operaciones en grupos y usuarios fallarán. Si esta variable se establece en verdadero, ordena un servidor LDAP que funcione correctamente. Por ejemplo, cuando no se puede acceder al servidor LDAP, el grupoRm para grupos locales falla porque estos grupos pueden ser un grupo primario para un usuario LDAP. Además, si no se puede acceder al servidor LDAP, un usuario local con un grupo LDAP, ya que el grupo primario no puede iniciar la sesión.
- No debe tener los mismos nombres o ID para los usuarios o grupos en los dominios LDAP y locales (archivos) cuando esta variable se establece en verdadero, porque el comportamiento de algunos mandatos es imprevisible. Para evitar la creación del mismo ID, establezca el atributo del sistema dist_uniqid .
- Cuando no se puede acceder al servidor LDAP, los mandatos lsuser y lsgroup muestran información de los sistemas locales.
- La adición de un usuario local a un grupo LDAP hace que dicho usuario pertenezca al grupo LDAP no sólo en el host actual, sino también en cualquier otro host en el que el usuario con el mismo nombre exista localmente. En otras palabras, si un usuario con el mismo nombre existe localmente en dos o más hosts, la adición de dicho usuario a un grupo LDAP desde un host hace que sea efectivo en el otro host.
- Cuando se elimina el usuario local del sistema, se elimina automáticamente de un grupo LDAP. Esto significa que, cuando un usuario local que tiene el mismo nombre en dos o más hosts se elimina de un grupo LDAP de un host, todos los usuarios locales con el mismo nombre en todos los demás hosts pierden su pertenencia a dicho grupo LDAP.
- Cuando se asigna un usuario a un grupo, existe un usuario con el mismo nombre en el otro dominio, el usuario que se asigna al grupo es el del mismo dominio que el grupo.Ejemplo: especificación de nombres similares a usuarios o grupos, entre dominios
User "user1" is pesent in the LDAP domain. mkuser -R LDAP id=10001 user1 Another user also named "user1" is present in the local domain. mkuser -R files id=1000 user1 Ldgrp1's user user1 belongs to the LDAP domain. mkgroup -R LDAP id=20001 users=user1 Ldgrp1
- Cuando se asigna un grupo LDAP como grupo primario a un usuario local en un cliente o host, el grupo se puede eliminar de otro host. Esto es posible porque el segundo host no tiene ningún conocimiento sobre los usuarios locales en el primer cliente.
- Si esta característica está activada, la validación de usuario se omite al crear o modificar grupos. Por ejemplo:
no se comprueba la existencia de los usuarios user1, user2y user3 .chgroup users=user1,user2,user3 group_name
Además, un grupo existente localmente en un cliente LDAP no se puede asignar a usuarios de otro cliente LDAP.
- Al usuario root no se le pueden asignar grupos LDAP independientemente del valor del atributo grupos sin dominio .
- Para que la característica domainlessgroups funcione correctamente, los archivos de correlación de usuario en el directorio /etc/security/ldap deben contener la correlación para el atributo pgid .
- Debe asegurarse de que el daemon de cliente LDAP y el servidor LDAP estén activos y en ejecución antes de suprimir un usuario local o un grupo local. De lo contrario, la entrada de un usuario local o un grupo local de este tipo sigue existiendo en LDAP.
RBAC
syslog
que se registran siempre que se ejecutan los mandatos con privilegios. Los mandatos privilegiados aparecen en la base de datos de /etc/security/privcmds . Esta stanza contiene los atributos siguientes:- nivel de registro
- Define el nivel de
syslog
para los mandatos con privilegios. El atributologlevel
puede tener uno de los valores siguientes:- Todos
- Indica que cuando se ejecutan los mandatos privilegiados, los resultados se registran en el archivo
syslog
. El valor predeterminado paraloglevel
esall
. - crito
- Indica que los mensajes de
syslog
se registran cuando los mandatos privilegiados se ejecutan sin la autorizaciónALLOW_ALL
,ALLOW_OWNER
oALLOW_GROUP
en el archivo /etc/security/privcmds . - Ninguno
- Indica que los mensajes de
syslog
no se registran cuando se ejecutan mandatos con privilegios.
perfil_suid
Define la restricción en el archivo /etc/suid_profile . Esta stanza tiene los atributos siguientes:
chkperm
Define la configuración del sistema para comprobar la propiedad y el permiso del archivo /etc/suid_profile . El shell Korn (ksh) interpreta el archivo /etc/suid_profile como un perfil cuando el proceso, cuyo ruid !=
euid
o rgid != egid
, genera un shell nuevo.
chkperm
.- Verdadero
- Cuando este atributo se establece en true, ksh verifica la propiedad [root] y los permisos de archivo [644] del archivo /etc/suid_profile antes de interpretarlo como un perfil. Si la propiedad o el permiso no son adecuados, ksh ignora el archivo /etc/suid_profile . Puede establecer el atributo
chkperm
en true para mejorar la seguridad del sistema. - No
- Cuando este atributo se establece en false, ksh no valida la propiedad y los permisos de archivo del archivo etc/suid_profile . El valor predeterminado es false.Nota: Establezca el atributo chkperm en true independientemente de la existencia del archivo /etc/suid_profile en el sistema.
Stanza-Tabla de asociación de variables
Esta stanza contiene los atributos siguientes:
stanza | Atributo |
---|---|
groups | grupos sin dominio |
RBAC | nivel de registro |
Seguridad
Control de accesos
Estos archivos otorgan acceso de lectura y escritura al usuario root. El acceso para otros usuarios y grupos depende de la política de seguridad del sistema.
Archivos
Elemento | Descripción |
---|---|
/etc/secvars.cfg | Especifica la vía de acceso al archivo. |
/etc/group | Contiene los atributos básicos de los grupos. |
/etc/security/group | Contiene los atributos ampliados de grupos. |
Ejemplos
groups:
domainlessgroups=true