Пусть это будет тут, чтоб все знали, что блог еще живой)
Собственно, вопрос заключается в том, какие права и возможности дают встроенные в AIX user и group accounts.
Все что в IBM сочли необходимым описать по теме находится тут (см. system special user accounts). В принципе, этой информации достаточно, чтобы понять, что реально юзабельными группами из них являются system и security(без детального описания получаемых привилегий правда).
Что делать при отсутствии описания?
В большинстве случаев встроенные пользователи и группы - это владение какими-то файлами или папками от какой-то facility. Понять что за права будут у пользователя при добавлении его в группу довольно легко из команды:
find / -group staff(или другая группа)
В данном случае (staff) пользователь не получает толком ничего кроме чтения папок других пользователей в /home
Точно так же надо поступать с самими встроенными юзерами, только -group замменить на -user
Если в выводе команды нет бинарников - то группа/пользователь нужна просто для содержания(/доступа к) файликов с неким назначением. О назначении можно судить из названия или содержимого файлов/папок.
Есть бинарники - значит пользователь в такой группе получает некоторые права на некоторые действия.
Например:
{lpar1} /etc/security/audit # find / -group audit
/audit
/etc/security/audit
/etc/security/audit/bincmds
/etc/security/audit/events
/etc/security/audit/objects
/etc/security/audit/streamcmds
/usr/lpp/bos/inst_root/audit
/usr/lpp/bos/inst_root/etc/security/audit
/usr/lpp/bos/inst_root/etc/security/audit/bincmds
/usr/lpp/bos/inst_root/etc/security/audit/config
/usr/lpp/bos/inst_root/etc/security/audit/events
/usr/lpp/bos/inst_root/etc/security/audit/objects
/usr/lpp/bos/inst_root/etc/security/audit/streamcmds
/usr/sbin/audit
/usr/sbin/auditbin
/usr/sbin/auditcat
/usr/sbin/auditconv
/usr/sbin/auditmerge
/usr/sbin/auditpr
/usr/sbin/auditselect
/usr/sbin/auditstream
/usr/sbin/lsaudit
/usr/sbin/watch
{lpar1} /etc/security/audit #
{lpar1} / # find / -group audit -type f -exec ls -l {} \;
-rw-r----- 1 root audit 37 Nov 30 15:05 /etc/security/audit/bincmds
-rw-r----- 1 root audit 24341 Nov 30 15:45 /etc/security/audit/events
-rw-r----- 1 root audit 340 Nov 30 15:05 /etc/security/audit/objects
-rw-r----- 1 root audit 54 Nov 30 15:05 /etc/security/audit/streamcmds
-rw-r----- 1 root audit 37 Aug 7 2010 /usr/lpp/bos/inst_root/etc/security/audit/bincmds
-rw-r----- 1 root audit 2460 Aug 7 2010 /usr/lpp/bos/inst_root/etc/security/audit/config
-rw-r----- 1 root audit 23456 Aug 7 2010 /usr/lpp/bos/inst_root/etc/security/audit/events
-rw-r----- 1 root audit 340 Aug 7 2010 /usr/lpp/bos/inst_root/etc/security/audit/objects
-rw-r----- 1 root audit 54 Aug 7 2010 /usr/lpp/bos/inst_root/etc/security/audit/streamcmds
-r-sr-x--- 1 root audit 42916 Apr 3 2012 /usr/sbin/audit
-r-sr-x--- 1 root audit 24250 Mar 27 2012 /usr/sbin/auditbin
-r-sr-x--- 1 root audit 23442 Nov 30 15:05 /usr/sbin/auditcat
-r-sr-x--- 1 root audit 12444 Nov 30 15:05 /usr/sbin/auditconv
-r-sr-x--- 1 root audit 10700 Nov 30 15:05 /usr/sbin/auditmerge
-r-sr-x--- 1 root audit 49648 Nov 30 15:05 /usr/sbin/auditpr
-r-sr-x--- 1 root audit 31186 Nov 30 15:05 /usr/sbin/auditselect
-r-sr-x--- 1 root audit 9420 Mar 27 2012 /usr/sbin/auditstream
-r-sr-xr-x 1 root audit 4156 Nov 30 15:05 /usr/sbin/lsaudit
-r-sr-x--- 1 root audit 18904 Nov 30 15:05 /usr/sbin/watch
{lpar1} / #
{lpar1} /etc/security/audit # find / -group audit
/audit
/etc/security/audit
/etc/security/audit/bincmds
/etc/security/audit/events
/etc/security/audit/objects
/etc/security/audit/streamcmds
/usr/lpp/bos/inst_root/audit
/usr/lpp/bos/inst_root/etc/security/audit
/usr/lpp/bos/inst_root/etc/security/audit/bincmds
/usr/lpp/bos/inst_root/etc/security/audit/config
/usr/lpp/bos/inst_root/etc/security/audit/events
/usr/lpp/bos/inst_root/etc/security/audit/objects
/usr/lpp/bos/inst_root/etc/security/audit/streamcmds
/usr/sbin/audit
/usr/sbin/auditbin
/usr/sbin/auditcat
/usr/sbin/auditconv
/usr/sbin/auditmerge
/usr/sbin/auditpr
/usr/sbin/auditselect
/usr/sbin/auditstream
/usr/sbin/lsaudit
/usr/sbin/watch
{lpar1} /etc/security/audit #
{lpar1} / # find / -group audit -type f -exec ls -l {} \;
-rw-r----- 1 root audit 37 Nov 30 15:05 /etc/security/audit/bincmds
-rw-r----- 1 root audit 24341 Nov 30 15:45 /etc/security/audit/events
-rw-r----- 1 root audit 340 Nov 30 15:05 /etc/security/audit/objects
-rw-r----- 1 root audit 54 Nov 30 15:05 /etc/security/audit/streamcmds
-rw-r----- 1 root audit 37 Aug 7 2010 /usr/lpp/bos/inst_root/etc/security/audit/bincmds
-rw-r----- 1 root audit 2460 Aug 7 2010 /usr/lpp/bos/inst_root/etc/security/audit/config
-rw-r----- 1 root audit 23456 Aug 7 2010 /usr/lpp/bos/inst_root/etc/security/audit/events
-rw-r----- 1 root audit 340 Aug 7 2010 /usr/lpp/bos/inst_root/etc/security/audit/objects
-rw-r----- 1 root audit 54 Aug 7 2010 /usr/lpp/bos/inst_root/etc/security/audit/streamcmds
-r-sr-x--- 1 root audit 42916 Apr 3 2012 /usr/sbin/audit
-r-sr-x--- 1 root audit 24250 Mar 27 2012 /usr/sbin/auditbin
-r-sr-x--- 1 root audit 23442 Nov 30 15:05 /usr/sbin/auditcat
-r-sr-x--- 1 root audit 12444 Nov 30 15:05 /usr/sbin/auditconv
-r-sr-x--- 1 root audit 10700 Nov 30 15:05 /usr/sbin/auditmerge
-r-sr-x--- 1 root audit 49648 Nov 30 15:05 /usr/sbin/auditpr
-r-sr-x--- 1 root audit 31186 Nov 30 15:05 /usr/sbin/auditselect
-r-sr-x--- 1 root audit 9420 Mar 27 2012 /usr/sbin/auditstream
-r-sr-xr-x 1 root audit 4156 Nov 30 15:05 /usr/sbin/lsaudit
-r-sr-x--- 1 root audit 18904 Nov 30 15:05 /usr/sbin/watch
{lpar1} / #
Очевидно, пользователю из этой группы дадут права на просмотр конфигов из /etc/security/audit/
и на запуск команд работы с подсистемой аудита из /usr/sbin
Ну а дальше, конечно, придется идти и читать про аудит =)На самом деле (как будто все, что было до этого, не на самом деле), если сначала мы бы пошли читать про audit, то там-то и узнали бы, что в AIX есть-таки группа audit и зачем она нужна. Таким образом, чтобы узнать зачем в AIX та или иная группа, надо прочитать по нему всю документацию. Шутка.
Спасибо :)
ОтветитьУдалить