Funções administrativas
Junos OS permite que você defina um usuário do sistema para agir como um tipo específico de administrador para o sistema. Você pode atribuir uma função administrativa a um usuário configurando uma classe de login para ter os atributos da função administrativa. Você pode atribuir um dos atributos de função, como o oficial de auditoria de criptos, oficial de segurança, oficial de ids a um usuário administrativo.
Como projetar funções administrativas
Um usuário do sistema pode ser um membro de uma classe que permite que o usuário atue como um tipo específico de administrador para o sistema. Exigir uma função específica para visualizar ou modificar um item restringe a extensão das informações que um usuário pode obter do sistema. Ele também limita o quanto do sistema está aberto à modificação ou observação por um usuário. Você (o administrador do sistema) deve usar as seguintes diretrizes quando estiver projetando funções administrativas:
Não permita que nenhum usuário faça login no sistema como .
root
Restrinja cada usuário ao menor conjunto de privilégios necessários para executar as funções do usuário.
Não permita que nenhum usuário pertença a uma aula de login que contenha a bandeira de permissão.
shell
A bandeira de permissão permite que os usuários executem o comando da CLI.shell
start shell
Permita que os usuários tenham permissões de reversão. As permissões de reversão permitem que os usuários desfaçam uma ação realizada por um administrador, mas não permitem que eles comprometam as mudanças.
Você pode atribuir uma função administrativa a um usuário configurando uma classe de login para ter os privilégios necessários para a função. Você pode configurar cada classe para permitir ou negar acesso a declarações de configuração e comandos por nome. Essas restrições se sobrepõem e têm precedência sobre quaisquer bandeiras de permissão também configuradas na classe. Você pode atribuir um dos seguintes atributos de função a um usuário administrativo:
Crypto-administrator
— permite que o usuário configure e monitore dados criptográficos.Security-administrator
— permite que o usuário configure e monitore dados de segurança.Audit-administrator
— permite que o usuário configure e monitore dados de auditoria.IDS-administrator
— permite que o usuário monitore e limpe os logs de segurança do serviço de detecção de intrusão (IDS).
Cada função pode desempenhar as seguintes funções de gerenciamento específicas:
Cryptographic Administrator
Configura o auto-teste criptográfico.
Modifica os parâmetros de dados de segurança criptográfica.
Audit Administrator
Configura e exclui o recurso de pesquisa e classificação de revisão de auditoria.
Pesquise e classifique registros de auditoria.
Configura parâmetros de pesquisa e classificação.
Elimina manualmente os logs de auditoria.
Security Administrator
Invoca, determina e modifica o comportamento de auto-teste criptográfico.
Habilita, desativa, determina e modifica as funções de análise de auditoria e seleção de auditoria, e configura o dispositivo para excluir automaticamente os logs de auditoria.
Habilita ou desativa alarmes de segurança.
Especifica limites para cotas em conexões de camada de transporte.
Especifica os limites, identificadores de rede e períodos de tempo para cotas em recursos controlados orientados por conexão.
Especifica os endereços de rede permitidos para usar o Protocolo de Mensagem de Controle de Internet (ICMP) ou Protocolo de Resolução de Endereços (ARP).
Configura a hora e a data usadas nos carimbos de tempo.
Consultas, modificações, exclusões e cria o fluxo de informações ou regras de controle de acesso e atributos para a política de função de segurança de fluxo de informações (SFP) não autenticada, a política de função de segurança de fluxo de informações autenticada, os serviços de dispositivo não autenticados e a política de controle de acesso discricionária.
Especifica valores iniciais que substituem os valores padrão quando as informações de objetos são criadas sob SFP de fluxo de informações não autenticado, o SFP de fluxo de informações autenticado, a meta não autenticada de serviços de avaliação (TOE) e a política de controle de acesso discricionária.
Cria, exclui ou modifica as regras que controlam o endereço a partir do qual as sessões de gerenciamento podem ser estabelecidas.
Especifica e revoga atributos de segurança associados aos usuários, sujeitos e objetos.
Especifica a porcentagem da capacidade de armazenamento de auditoria na qual o dispositivo alerta os administradores.
Lida com falhas de autenticação e modifica o número de tentativas de autenticação falhadas através do SSH ou da CLI que podem ocorrer antes que o estrangulamento progressivo seja aplicado para novas tentativas de autenticação e antes que a conexão seja descartada.
Gerencia a configuração básica de rede do dispositivo.
IDS Administrator— especifica alarmes de segurança IDS, alarmes de intrusão, seleções de auditoria e dados de auditoria.
Você deve definir o atributo de função de segurança nas classes criadas para essas funções administrativas. Esse atributo restringe quais usuários podem mostrar e limpar os logs de segurança, ações que não podem ser realizadas apenas por meio da configuração.
Por exemplo, você deve definir o atributo de função de segurança na classe criada para a função de administrador de IDS se quiser restringir a compensação e mostrar logs de IDS para a função de administrador do IDS.ids-admin
Da mesma forma, você deve definir a função de segurança para um dos outros valores administrativos para restringir essa classe de ser capaz de limpar e mostrar apenas logs não IDS.
Quando um usuário apaga uma configuração existente, as declarações de configuração sob o nível de hierarquia da configuração excluída (os objetos infantis que o usuário não tem permissão para modificar) permanecem no dispositivo.
Exemplo: Como configurar funções administrativas
Este exemplo mostra como configurar funções administrativas individuais para um conjunto distinto e único de privilégios, além de todos os outros cargos administrativos.
Requisitos
Nenhuma ação além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Este exemplo ilustra como configurar quatro funções de usuário administrador:
audit-officer
da classeaudit-admin
crypto-officer
da classecrypto-admin
security-officer
da classesecurity-admin
ids-officer
da classeids-admin
Quando uma classe é configurada, os privilégios para criar administradores são revogados do usuário que criou a classe.security-admin
security-admin
A criação de novos usuários e logins fica a critério do .security-officer
Neste exemplo, você cria as quatro funções administrativas de usuário mostradas na lista anterior (administrador de auditoria, administrador de cripto, administrador de segurança e administrador de ids). Para cada função, você atribui bandeiras de permissão relevantes para a função. Em seguida, você permite ou nega acesso a declarações de configuração e comandos por nome para cada função administrativa. Essas restrições específicas têm precedência sobre as bandeiras de permissão configuradas na classe. Por exemplo, apenas o comando pode ser executado, o que requer ter a bandeira de permissão para acessá-lo.crypto-admin
request system set-encryption-key
security
Somente a declaração pode incluir a declaração na configuração, que requer ter a bandeira de permissão.security-admin
system time-zone
system-control
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de hierarquia e, em seguida, entrar no modo de configuração.[edit]
commit
set system login class audit-admin permissions security set system login class audit-admin permissions trace set system login class audit-admin permissions maintenance set system login class audit-admin allow-commands "^clear (log|security log)" set system login class audit-admin deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell"; set system login class audit-admin security-role audit-administrator set system login class crypto-admin permissions admin-control set system login class crypto-admin permissions configure set system login class crypto-admin permissions maintenance set system login class crypto-admin permissions security-control set system login class crypto-admin permissions system-control set system login class crypto-admin permissions trace set system login class crypto-admin allow-commands "^request system set-encryption-key" set system login class crypto-admin deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" set system login class crypto-admin allow-configuration-regexps ["security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation"] set system login class crypto-admin security-role crypto-administrator set system login class security-admin permissions all set system login class security-admin deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell" set system login class security-admin deny-configuration-regexps ["security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log cache" "security log exclude .* event-id IDP_.*" "system fips self-test after-key-generation"] set system login class security-admin security-role security-administrator set system login class ids-admin permissions configure set system login class ids-admin permissions security-control set system login class ids-admin permissions trace set system login class ids-admin permissions maintenance set system login class ids-admin allow-configuration-regexps ["security alarms potential-violation idp" "security log exclude .* event-id IDP_.*"] set system login class ids-admin deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (dynamic-policies|match-policies|policies)|^start shell" set system login class ids-admin deny-configuration-regexps ["security alarms potential-violation (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"] set system login class ids-admin security-role ids-admin set system login user audit-officer class audit-admin set system login user crypto-officer class crypto-admin set system login user security-officer class security-admin set system login user ids-officer class ids-admin set system login user audit-officer authentication plain-text-password set system login user crypto-officer authentication plain-text-password set system login user security-officer authentication plain-text-password set system login user ids-officer authentication plain-text-password
Procedimento passo a passo
Para configurar funções administrativas:
-
Crie a aula de login.
audit-admin
[edit] user@host# edit system login class audit-admin [edit system login class audit-admin] user@host# set permissions security user@host# set permissions trace user@host# set permissions maintenance
-
Configure as restrições de classe de login.
audit-admin
[edit system login class audit-admin] user@host# set allow-commands "^clear (log|security log)" user@host# set deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" user@host# set security-role audit-administrator
-
Crie a aula de login.
crypto-admin
[edit] user@host# edit system login class crypto-admin [edit system login class crypto-admin] user@host# set permissions admin-control user@host# set permissions configure user@host# set permissions maintenance user@host# set permissions security-control user@host# set permissions system-control user@host# set permissions trace
-
Configure as restrições de classe de login.
crypto-admin
[edit system login class crypto-admin] user@host# set allow-commands "^request system set-encryption-key" user@host# set deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" user@host# set allow-configuration-regexps ["security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation"] user@host# set security-role crypto-administrator
-
Crie a aula de login.
security-admin
[edit] user@host# edit system login class security-admin [edit system login class security-admin] user@host# set permissions all
-
Configure as restrições de classe de login.
security-admin
[edit system login class security-admin] user@host# set deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell" user@host# set deny-configuration-regexps ["security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log cache" "security log exclude .* event-id IDP_.*" "system fips self-test after-key- generation"] user@host# set security-role security-administrator
-
Crie a aula de login.
ids-admin
[edit] user@host# edit system login class ids-admin [edit system login class ids-admin] user@host# set permissions configure user@host# set permissions maintenance user@host# set permissions security-control user@host# set permissions trace
-
Configure as restrições de classe de login.
ids-admin
[edit system login class ids-admin] user@host# set allow-configuration-regexps ["security alarms potential-violation idp" "security log exclude .* event-id IDP_.*" user@host# set deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (dynamic-policies|match-policies|policies)|^start shell" user@host# set deny-configuration-regexps ["security alarms potential-violation (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"] user@host# set security-role ids-administrator
-
Atribua os usuários às funções.
[edit] user@host# edit system login [edit system login] user@host# set user audit-officer class audit-admin user@host# set user crypto-officer class crypto-admin user@host# set user security-officer class security-admin user@host# set user ids-officer class ids-admin
-
Configure senhas para os usuários.
[edit system login] user@host# set user audit-officer authentication plain-text-password user@host# set user crypto-officer authentication plain-text-password user@host# set user security-officer authentication plain-text-password user@host# set user ids-officer authentication plain-text-password
Resultados
No modo de configuração, confirme sua configuração inserindo o comando.show system Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit] user@host# show system system { login { class audit-admin { permissions [ maintenance security trace ]; allow-commands "^clear (log|security log)"; deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell"; security-role audit-administrator; } class crypto-admin { permissions [ admin-control configure maintenance security-control system-control trace ]; allow-commands "^request (system set-encryption-key)"; deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell"; allow-configuration-regexps [ "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation" ]; security-role crypto-administrator; } class security-admin { permissions [all]; deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell"; deny-configuration-regexps [ "security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log exclude .* event-id IDP_.*" "system fips self-test after-key-generation" ]; security-role security-administrator; } class ids-admin { permissions [ configure maintenance security-control trace ]; deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication | cryptographic-self-test | decryption-failures | encryption-failures | ike-phase1-failures | ike-phase2-failures|key-generation-self-test | non-cryptographic-self-test |policy | replay-attacks) | ^file (copy|delete|rename) |^request (security|system set-encryption-key) | ^rollback | ^set date | ^show security (dynamic-policies|match-policies|policies) |^start shell"; allow-configuration-regexps [ "security alarms potential-violation idp" "security log exclude .* event-id IDP_.*" ]; deny-configuration-regexps "security alarms potential-violation (authentication|cryptographic-self-test|decryption- failures|encryption-failures|ike-phase1-failures|ike-phase2-failures| key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)" security-role ids-administrator; } user audit-officer { class audit-admin; authentication { encrypted-password "$1$ABC123"; ## SECRET-DATA } } user crypto-officer { class crypto-admin; authentication { encrypted-password "$1$ABC123."; ## SECRET-DATA } } user security-officer { class security-admin; authentication { encrypted-password "$1$ABC123."; ##SECRET-DATA } } user ids-officer { class ids-admin; authentication { encrypted-password "$1$ABC123/"; ## SECRET-DATA } } } }
Depois de configurar o dispositivo, entre no modo de configuração.commit
Verificação
Confirme se a configuração está funcionando corretamente.
Verifique as permissões de login
Propósito
Verifique as permissões de login para o usuário atual.
Ação
No modo operacional, insira o comando para verificar as permissões de login do usuário.show cli authorization
user@host> show cli authorization Current user: 'example' class 'super-user' Permissions: admin -- Can view user accounts admin-control-- Can modify user accounts clear -- Can clear learned network info configure -- Can enter configuration mode control -- Can modify any config edit -- Can edit full files field -- Can use field debug commands floppy -- Can read and write the floppy interface -- Can view interface configuration interface-control-- Can modify interface configuration network -- Can access the network reset -- Can reset/restart interfaces and daemons routing -- Can view routing configuration routing-control-- Can modify routing configuration shell -- Can start a local shell snmp -- Can view SNMP configuration snmp-control-- Can modify SNMP configuration system -- Can view system configuration system-control-- Can modify system configuration trace -- Can view trace file settings trace-control-- Can modify trace file settings view -- Can view current values and statistics maintenance -- Can become the super-user firewall -- Can view firewall configuration firewall-control-- Can modify firewall configuration secret -- Can view secret statements secret-control-- Can modify secret statements rollback -- Can rollback to previous configurations security -- Can view security configuration security-control-- Can modify security configuration access -- Can view access configuration access-control-- Can modify access configuration view-configuration-- Can view all configuration (not including secrets) flow-tap -- Can view flow-tap configuration flow-tap-control-- Can modify flow-tap configuration idp-profiler-operation-- Can Profiler data pgcp-session-mirroring-- Can view pgcp session mirroring configuration pgcp-session-mirroring-control-- Can modify pgcp session mirroring configura tion storage -- Can view fibre channel storage protocol configuration storage-control-- Can modify fibre channel storage protocol configuration all-control -- Can modify any configuration Individual command authorization: Allow regular expression: none Deny regular expression: none Allow configuration regular expression: none Deny configuration regular expression: none
Essa saída resume as permissões de login.
Como configurar uma conta de administrador local
Os privilégios do superusuário dão a um usuário permissão para usar qualquer comando no roteador e geralmente são reservados para alguns usuários selecionados, como administradores de sistema. Você (o administrador do sistema) precisa proteger a conta de administrador local com uma senha para evitar que usuários não autorizados tenham acesso a comandos de superusuários. Esses comandos de superusuários podem ser usados para alterar a configuração do sistema. Usuários com autenticação RADIUS também devem configurar uma senha local. Se o servidor RADIUS não responder, o processo de login reverterá para autenticação de senha local na conta do administrador local.
O exemplo a seguir mostra como configurar uma conta de administração local protegida por senha chamada com privilégios de superusuários:admin
[edit] system { login { user admin { uid 1000; class superuser; authentication { encrypted-password "<PASSWORD>"; ## SECRET-DATA } } } }