Archivo secvars.cfg

Editar en línea

Finalidad

Consta de valores de configuración para diversas propiedades de seguridad del sistema.

Descripción

El archivo /etc/secvars.cfg es un archivo de stanza, donde cada nombre de stanza representa una propiedad de seguridad. Los mandatos lssec y chsec se pueden utilizar para ver y modificar los archivos. La stanza contiene los siguientes nombres de stanza:

groups

Define el comportamiento de los grupos en el sistema. Esta stanza tiene los atributos siguientes:

grupos sin dominio

Controla la configuración del sistema para fusionar los atributos de grupo del usuario desde LDAP (Lightweight Directory Access Protocol) y dominios de archivos. Sólo se admiten los archivos y los módulos LDAP. La característica domainlessgroups reconoce si los usuarios o grupos pertenecen a los dominios soportados basándose en los valores de registro de los usuarios o grupos. Por lo tanto, el valor de registro especificado para los usuarios o grupos debe ser files o LDAP. El valor de registro no puede ser un módulo compuesto o un registro de compat aunque los módulos compuestos o registros de compat especificados puedan contener el dominio files , el dominio LDAP o ambos. La característica domainlessgroups no es aplicable a valores como netgroups que se especifican para el parámetro options para el módulo LDAP. El módulo LDAP se define en el archivo /etc/methods.cfg .

Los valores siguientes son válidos para el atributo domainlessgroups .
Verdadero
Cuando este atributo se establece en true, se puede asignar a un usuario grupos de los dominios LDAP y de archivos simultáneamente, independientemente del dominio del usuario. El usuario debe pertenecer a los dominios LDAP o de archivo.

Por ejemplo, a los usuarios definidos en LDAP se les pueden asignar los grupos locales y viceversa.

No
Cuando este atributo se establece en false, sólo se pueden asignar grupos a los usuarios desde el dominio donde existe la definición de usuario. El valor predeterminado es false.
Notas:
  1. Si el servidor LDAP está inactivo o no se puede acceder a él, y esta variable se establece en verdadero, algunas operaciones en grupos y usuarios fallarán. Si esta variable se establece en verdadero, ordena un servidor LDAP que funcione correctamente. Por ejemplo, cuando no se puede acceder al servidor LDAP, el grupoRm para grupos locales falla porque estos grupos pueden ser un grupo primario para un usuario LDAP. Además, si no se puede acceder al servidor LDAP, un usuario local con un grupo LDAP, ya que el grupo primario no puede iniciar la sesión.
  2. No debe tener los mismos nombres o ID para los usuarios o grupos en los dominios LDAP y locales (archivos) cuando esta variable se establece en verdadero, porque el comportamiento de algunos mandatos es imprevisible. Para evitar la creación del mismo ID, establezca el atributo del sistema dist_uniqid .
  3. Cuando no se puede acceder al servidor LDAP, los mandatos lsuser y lsgroup muestran información de los sistemas locales.
  4. La adición de un usuario local a un grupo LDAP hace que dicho usuario pertenezca al grupo LDAP no sólo en el host actual, sino también en cualquier otro host en el que el usuario con el mismo nombre exista localmente. En otras palabras, si un usuario con el mismo nombre existe localmente en dos o más hosts, la adición de dicho usuario a un grupo LDAP desde un host hace que sea efectivo en el otro host.
  5. Cuando se elimina el usuario local del sistema, se elimina automáticamente de un grupo LDAP. Esto significa que, cuando un usuario local que tiene el mismo nombre en dos o más hosts se elimina de un grupo LDAP de un host, todos los usuarios locales con el mismo nombre en todos los demás hosts pierden su pertenencia a dicho grupo LDAP.
  6. Cuando se asigna un usuario a un grupo, existe un usuario con el mismo nombre en el otro dominio, el usuario que se asigna al grupo es el del mismo dominio que el grupo.
    Ejemplo: especificación de nombres similares a usuarios o grupos, entre dominios
    User "user1" is pesent in the LDAP domain.
	mkuser -R LDAP id=10001 user1 

Another user also named "user1" is present in the local domain.
	mkuser -R files id=1000 user1 

Ldgrp1's user user1 belongs to the LDAP domain.
	mkgroup -R LDAP id=20001 users=user1 Ldgrp1
  7. Cuando se asigna un grupo LDAP como grupo primario a un usuario local en un cliente o host, el grupo se puede eliminar de otro host. Esto es posible porque el segundo host no tiene ningún conocimiento sobre los usuarios locales en el primer cliente.
  8. Si esta característica está activada, la validación de usuario se omite al crear o modificar grupos. Por ejemplo:
    chgroup users=user1,user2,user3 group_name
    no se comprueba la existencia de los usuarios user1, user2y user3 .

    Además, un grupo existente localmente en un cliente LDAP no se puede asignar a usuarios de otro cliente LDAP.

  9. Al usuario root no se le pueden asignar grupos LDAP independientemente del valor del atributo grupos sin dominio .
  10. Para que la característica domainlessgroups funcione correctamente, los archivos de correlación de usuario en el directorio /etc/security/ldap deben contener la correlación para el atributo pgid .
  11. Debe asegurarse de que el daemon de cliente LDAP y el servidor LDAP estén activos y en ejecución antes de suprimir un usuario local o un grupo local. De lo contrario, la entrada de un usuario local o un grupo local de este tipo sigue existiendo en LDAP.

RBAC

Define el comportamiento de los mensajes de syslog que se registran siempre que se ejecutan los mandatos con privilegios. Los mandatos privilegiados aparecen en la base de datos de /etc/security/privcmds . Esta stanza contiene los atributos siguientes:
nivel de registro
Define el nivel de syslog para los mandatos con privilegios. El atributo loglevel puede tener uno de los valores siguientes:
Todos
Indica que cuando se ejecutan los mandatos privilegiados, los resultados se registran en el archivo syslog . El valor predeterminado para loglevel es all.
crito
Indica que los mensajes de syslog se registran cuando los mandatos privilegiados se ejecutan sin la autorización ALLOW_ALL, ALLOW_OWNERo ALLOW_GROUP en el archivo /etc/security/privcmds .
Ninguno
Indica que los mensajes de syslog no se registran cuando se ejecutan mandatos con privilegios.

perfil_suid

Define la restricción en el archivo /etc/suid_profile . Esta stanza tiene los atributos siguientes:

chkperm

Define la configuración del sistema para comprobar la propiedad y el permiso del archivo /etc/suid_profile . El shell Korn (ksh) interpreta el archivo /etc/suid_profile como un perfil cuando el proceso, cuyo ruid != euid o rgid != egid, genera un shell nuevo.

Los valores siguientes son válidos para el atributo chkperm .
Verdadero
Cuando este atributo se establece en true, ksh verifica la propiedad [root] y los permisos de archivo [644] del archivo /etc/suid_profile antes de interpretarlo como un perfil. Si la propiedad o el permiso no son adecuados, ksh ignora el archivo /etc/suid_profile . Puede establecer el atributo chkperm en true para mejorar la seguridad del sistema.
No
Cuando este atributo se establece en false, ksh no valida la propiedad y los permisos de archivo del archivo etc/suid_profile . El valor predeterminado es false.
Nota: Establezca el atributo chkperm en true independientemente de la existencia del archivo /etc/suid_profile en el sistema.

Stanza-Tabla de asociación de variables

Esta stanza contiene los atributos siguientes:

stanza Atributo
groups grupos sin dominio
RBAC nivel de registro

Seguridad

Control de accesos

Estos archivos otorgan acceso de lectura y escritura al usuario root. El acceso para otros usuarios y grupos depende de la política de seguridad del sistema.

Archivos

Elemento Descripción
/etc/secvars.cfg Especifica la vía de acceso al archivo.
/etc/group Contiene los atributos básicos de los grupos.
/etc/security/group Contiene los atributos ampliados de grupos.

Ejemplos

A continuación se muestra un ejemplo de la stanza de grupo:
groups:
		domainlessgroups=true