computerseite-spezial.de

handverlesene Infos zu Linux, FreeBSD und OpenSolaris

  • Full Screen
  • Wide Screen
  • Narrow Screen
  • Increase font size
  • Default font size
  • Decrease font size
Sie sind hier: Startseite OpenSolaris OpenSolaris - das Kommando pfexec (execute in a profile)

OpenSolaris - das Kommando pfexec (execute in a profile)

Montag, den 24. November 2008 um 09:19 Uhr
 E-Mail | Drucken | PDF 

Autor: Carsten Rohmann / der Beitrag steht unter der Creative Commons Lizenz Link mit den Bedingungen:  Namensnennung, keine kommerzielle Nutzung, Weitergabe unter gleichen Bedingungen, 3.0 Unported.

Dieser komprimierte Beitrag geht zurück auf ein ausführlicheres, englischsprachiges Tutorial von Joerg Moellenkamp bei c0t0d0s0.org (siehe unten unter: Quellen). Die Veröffentlichung dieses modifizierten Beitrages auf Deutsch erfolgt mit seiner freundlicher Genehmigung.

Bitte beachten Sie bei der Weiterverwendung dieses Beitrages die Lizenzbedingungen. Vielen Dank.


pfexec - execute a command in a profile


Das Kommando pfexec unter (Open)Solaris kann man als funktionelles Pendant zum Kommando sudo betrachten. pfexec bedeutet: „execute a command in a profile“. pfexec wird einem Kommando vorangestellt und führt so Befehle mit vordefinierten Prozesseigenschaften aus, beispielsweise mit spezifischen Benutzer- und Gruppen-IDs.

Die Vorteile von pfexec sind:

1) pfexec funktioniert ohne Vergabe eines Root-Passworts
2) Mit pfexec kann der Benutzer (User) sofort arbeiten.

Dem ersten User, der bei der Installation von OpenSolaris 2008.x angelegt wird, wird automatisch das "Primary Administrator Execution Profile" (Administrator-Rechte-Profil) zugewiesen. Somit hat dieser User vordefinierte Root-Rechte unter denen er bei Bedarf sofort arbeiten kann.

Mit dem folgenden Befehl erhält dieser User eine Rootshell, wenn er nicht ständig vor jedem einzelnen Kommando pfexec eintippen möchte:

$ pfexec bash


Mit diesem Befehl werden die IDs angezeigt:

# id


Zu sehen sein dürfte dann etwas ähnliches wie:

uid=0(root) gid=0(root) groups=10(staff)


Das raffinierte ist, dass der Administrator einerseits kein extra Root-Passwort vergeben muss, um einem bestimmtem User eine Rootshell zur Verfügung zu stellen. Es genügt wenn diesem User das "Primary Administrator Excecution Profile" zugewiesen wurde. Andererseits, um die zugewiesenen Root-Rechte wieder zu entziehen, muss dem User lediglich das "Primary Administrator Execution Profile" entzogen werden. Das Anlegen und Löschen von Root-Passwörtern entfällt damit.


Quellen:

man pages bei docs.sun.com: pfexec(1) – execute a command in a profile: Link

Tutorials bei c0t0d0s0.org: Less known Solaris features: pfexec: Link


< Zurück   Weiter >
Startseite | Sitemap | SUCHE | Impressum | Kontakt
You are here: