AIX中基于角色的访问控制，第2部分

安全控制人员请求我们允许给予 oper1 用户对 /etc/hosts 文件的读/写访问权限。我们将创建一个 用户定义的角色和授权，然后将 /etc/hosts 文件添加到特权文件数据库，从而允许 oper1 用户对 /etc/hosts 文件进行读写操作。

/etc/hosts 文件具有相应的 DAC 权限，允许 oper1 用户和 root 用户以外的其他所有用户或者 system 组的成员对其进行只读访问。

图 17 /etc/hosts 文件的 DAC 权限

要向特权文件数据库中添加一个文件，请执行下面的步骤：

1. 创建或者确定将用于特权文件访问的授权和角色。

特权文件数据库使用 RBAC 授权，以便对文件的读写访问控制进行身份验证。

对于要添加到特权文件数据库中的文件，管理员必须了解以下内容：

文件名称。

读授权 (readauth) 的 RBAC 授权。如果指定了 writeauth，readauth 则不是强制的。readauth 可 以指定为一个授权列表。

写授权 (writeauth) 的 RBAC 授权，如果需要的话。writeauth 可以指定为一个授权列表。

在这个示例中，我们将使用先前在“用户定义的角色”中创建的 operatorPVI 授权和 operator_pvi 角色。

2. 使用 setsecattr 命令，我们将 /etc/hosts 文件添加到特权文件数据库。

我们将为 operatorPVI 授权定义对 /etc/hosts 文件的写访问权限。

在图 30 中，我们使用 setsecattr 命令将 /etc/hosts 文件添加到特权文件数据库中，并允许授予 operatorPVI 对该文件的写访问权限。对 /etc/hosts 文件的写访问权限 (writeauth) 还支持对该文件 的读访问权限 (readauth)。

图 18 setesattr 命令

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!