SafeChildren Banner

Havoc Oracle Solaris Experts

lunes, 13 de septiembre de 2010

Modelo de Seguridad de Solaris: RBAC, Roles y Privilegios - Parte 4

Introducción
Continuando con nuestra serie de RBAC, Roles y Privilegios y cómo podemos aplicarlo a nuestras instalaciones. En esta ocasión vamos a ver el privilegio sys_priocntl -aplicado a una zona- que nos permite modificar el planificador de un proceso desde una zona no global

Modificación del planificador en una Zona No Global
Si intentamos ejecutar el comando de cambio de planificador <priocntl> en una zona no global con los privilegios default Solaris nos mostrará un mensaje de error indicando que no tiene permisos, vamos a verlo:
# zonename
testzone
# ps -cf -u smmsp
     UID   PID  PPID  CLS PRI    STIME TTY         TIME CMD
   smmsp  9046  8589  FSS  59 11:44:15 ?           0:00 /usr/lib/sendmail -Ac -q15m
# priocntl -s -c FX -i pid 9046
Permissions error encountered on pid 9046.

Privilegios Zona No Global para cambiar los planificadores
Vamos a ver cómo podemos hacer para habilitar la administración de planificadores en una zona no global, para ello, deberemos incluir el privilegio sys_priocntl
# zonecfg -z testzone
zonecfg:testzone> set limitpriv=default,proc_priocntl,sys_time
zonecfg:testzone> verify
zonecfg:testzone> commit
zonecfg:testzone> exit
# zoneadm -z testzone reboot

Ahora, al conectarnos a la zona y volveremos a ejecutar el comando de cambio de planificador y le asignaremos TS en vez de FSS y veremos el resultado
# ps -cf -u smmsp
     UID   PID  PPID  CLS PRI    STIME TTY         TIME CMD
   smmsp 13064 12635  FSS  29 13:33:58 ?           0:00 /usr/lib/sendmail -Ac -q15m
# priocntl -s -c TS -i pid 13064
# ps -cf -u smmsp
     UID   PID  PPID  CLS PRI    STIME TTY         TIME CMD
   smmsp 13064 12635   TS  52 13:33:58 ?           0:00 /usr/lib/sendmail -Ac -q15m
Esta vez si que hemos podido cambiar nuestro planificador.

Conclusiones
Hemos visto un privilegio bastante útil que nos permitirá modificar los planificadores -y por lo tanto optimizar el uso- de los procesos que se encuentran dentro de una zona, sin tener que acceder a través de la zona global para ello.

Con esta última parte, ya podemos pasar a las siguientes secciones, donde hablaremos de Roles y, como hemos hecho hasta ahora, utilizaremos pequeños ejemplos para poder explicarlo de forma más sencilla.

<< RBAC, Roles y Privilegios en Solaris 10 - Parte 1
<< RBAC, Roles y Privilegios en Solaris 10 - Parte 2
<< RBAC, Roles y Privilegios en Solaris 10 - Parte 3


Referencias

No hay comentarios:

Publicar un comentario en la entrada