Funções administrativas
O Junos OS Evolved permite que você defina um usuário do sistema para atuar como um tipo específico de administrador para o sistema. Você pode atribuir uma função administrativa a um usuário configurando uma classe de login para ter os atributos da função administrativa. Você pode atribuir um dos atributos de função, como o cripto-oficial de auditoria, oficial de segurança, ids-officer a um usuário administrativo.
Como projetar funções administrativas
Um usuário do sistema pode ser um membro de uma classe que permite que o usuário atue como um tipo específico de administrador para o sistema. Exigir uma função específica para visualizar ou modificar um item restringe a extensão das informações que um usuário pode obter do sistema. Ele também limita o quanto do sistema está aberto a modificações ou observações por um usuário. Você (o administrador do sistema) deve usar as seguintes diretrizes quando estiver projetando funções administrativas:
Não permita que nenhum usuário faça login no sistema como
root.Restrinja cada usuário ao menor conjunto de privilégios necessários para realizar as funções do usuário.
Não permita que nenhum usuário pertença a uma aula de login contendo a bandeira de
shellpermissão. Ashellbandeira de permissão permite que os usuários executem ostart shellcomando da CLI.Permita que os usuários tenham permissões de reversão. As permissões de reversão permitem que os usuários desfaçam uma ação executada por um administrador, mas não permitem que eles cometam as alterações.
Você pode atribuir uma função administrativa a um usuário configurando uma classe de login para ter os privilégios necessários para a função. Você pode configurar cada classe para permitir ou negar acesso a declarações de configuração e comandos por nome. Essas restrições substituem e têm precedência sobre quaisquer bandeiras de permissão também configuradas na classe. Você pode atribuir um dos seguintes atributos de função a um usuário administrativo:
Crypto-administrator— permite que o usuário configure e monitore dados criptográficos.Security-administrator— permite que o usuário configure e monitore dados de segurança.Audit-administrator— permite que o usuário configure e monitore dados de auditoria.IDS-administrator— permite que o usuário monitore e libere os registros de segurança do serviço de detecção de intrusões (IDS).
Cada função pode executar as seguintes funções de gerenciamento específicas:
Cryptographic Administrator
Configura o auto-teste criptográfico.
Modifica os parâmetros de dados de segurança criptográficos.
Audit Administrator
Configura e exclui o recurso de pesquisa e classificação de revisão de auditoria.
Pesquisa e classifica registros de auditoria.
Configura parâmetros de pesquisa e classificação.
Elimina manualmente os registros de auditoria.
Security Administrator
Invoca, determina e modifica o comportamento de auto-teste criptográfico.
Habilita, desativa, determina e modifica as funções de análise de auditoria e seleção de auditoria, e configura o dispositivo para excluir automaticamente registros de auditoria.
Habilita ou desativa alarmes de segurança.
Especifica limites para cotas em conexões de Camada de Transporte.
Especifica os limites, identificadores de rede e períodos de tempo para cotas em recursos controlados orientados por conexão.
Especifica os endereços de rede permitidos para usar o Protocolo de Mensagem de Controle de Internet (ICMP) ou Protocolo de Resolução de Endereços (ARP).
Configura a hora e a data usadas nos selos de tempo.
Consultas, modificações, exclusões e cria o fluxo de informações ou regras de controle de acesso e atributos para a política de função de segurança de fluxo de informações (SFP) não autenticada, a política de função de segurança de fluxo de informações autenticada, os serviços de dispositivos não autenticados e a política de controle de acesso discricionária.
Especifica valores iniciais que substituem valores padrão quando as informações de objeto são criadas sob SFP de fluxo de informações não autenticado, o SFP de fluxo de informações autenticado, o alvo não autenticado de serviços de avaliação (TOE) e a política de controle de acesso discricionária.
Cria, exclui ou modifica as regras que controlam o endereço a partir do qual as sessões de gerenciamento podem ser estabelecidas.
Especifica e revoga atributos de segurança associados aos usuários, sujeitos e objetos.
Especifica a porcentagem da capacidade de armazenamento de auditoria na qual o dispositivo alerta os administradores.
Lida com falhas de autenticação e modifica o número de tentativas de autenticação falhadas por meio de SSH ou da CLI que podem ocorrer antes que o estrangulamento progressivo seja aplicado para novas tentativas de autenticação e antes que a conexão seja lançada.
Gerencia a configuração básica de rede do dispositivo.
IDS Administrator— especifica alarmes de segurança IDS, alarmes de intrusão, seleções de auditoria e dados de auditoria.
Você deve definir o atributo de função de segurança nas classes criadas para essas funções administrativas. Esse atributo restringe quais usuários podem mostrar e limpar os logs de segurança, ações que não podem ser executadas apenas por meio da configuração.
Por exemplo, você deve definir o atributo de função de segurança na ids-admin classe criada para a função de administrador do IDS se quiser restringir a compensação e mostrar logs IDS para a função de administrador do IDS. Da mesma forma, você deve definir a função de segurança para um dos outros valores administrativos para restringir essa classe de ser capaz de limpar e mostrar apenas logs não IDS.
Quando um usuário exclui uma configuração existente, as declarações de configuração sob o nível de hierarquia da configuração excluída (os objetos infantis que o usuário não tem permissão para modificar) permanecem no dispositivo.
Exemplo: como configurar funções administrativas
Este exemplo mostra como configurar funções administrativas individuais para um conjunto distinto e único de privilégios, além de todas as outras funções administrativas.
Requisitos
Nenhuma ação além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Este exemplo ilustra como configurar quatro funções de usuário administrador:
audit-officerda classeaudit-admincrypto-officerda classecrypto-adminsecurity-officerda classesecurity-adminids-officerda classeids-admin
Quando uma security-admin classe é configurada, os privilégios para criar administradores são revogados do usuário que criou a security-admin classe. A criação de novos usuários e logins fica a critério do security-officer.
Neste exemplo, você cria as quatro funções administrativas de usuário mostradas na lista anterior (administrador de auditoria, administrador de cripto, administrador de segurança e administrador de ids). Para cada função, você atribui bandeiras de permissão relevantes para a função. Em seguida, você permite ou nega acesso a declarações de configuração e comandos por nome para cada função administrativa. Essas restrições específicas têm precedência sobre as bandeiras de permissão configuradas na classe. Por exemplo, apenas o crypto-admin comando pode ser executado, o request system set-encryption-key que requer ter a security bandeira de permissão para acessá-lo. Somente a security-admin declaração pode incluir system time-zone a declaração na configuração, que requer ter a bandeira de system-control permissão.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar commit no modo de configuração.
set system login class audit-admin permissions security set system login class audit-admin permissions trace set system login class audit-admin permissions maintenance set system login class audit-admin allow-commands "^clear (log|security log)" set system login class audit-admin deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell"; set system login class audit-admin security-role audit-administrator set system login class crypto-admin permissions admin-control set system login class crypto-admin permissions configure set system login class crypto-admin permissions maintenance set system login class crypto-admin permissions security-control set system login class crypto-admin permissions system-control set system login class crypto-admin permissions trace set system login class crypto-admin allow-commands "^request system set-encryption-key" set system login class crypto-admin deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" set system login class crypto-admin allow-configuration-regexps ["security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation"] set system login class crypto-admin security-role crypto-administrator set system login class security-admin permissions all set system login class security-admin deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell" set system login class security-admin deny-configuration-regexps ["security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log cache" "security log exclude .* event-id IDP_.*" "system fips self-test after-key-generation"] set system login class security-admin security-role security-administrator set system login class ids-admin permissions configure set system login class ids-admin permissions security-control set system login class ids-admin permissions trace set system login class ids-admin permissions maintenance set system login class ids-admin allow-configuration-regexps ["security alarms potential-violation idp" "security log exclude .* event-id IDP_.*"] set system login class ids-admin deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (dynamic-policies|match-policies|policies)|^start shell" set system login class ids-admin deny-configuration-regexps ["security alarms potential-violation (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"] set system login class ids-admin security-role ids-admin set system login user audit-officer class audit-admin set system login user crypto-officer class crypto-admin set system login user security-officer class security-admin set system login user ids-officer class ids-admin set system login user audit-officer authentication plain-text-password set system login user crypto-officer authentication plain-text-password set system login user security-officer authentication plain-text-password set system login user ids-officer authentication plain-text-password
Procedimento passo a passo
Para configurar funções administrativas:
-
Crie a aula de
audit-adminlogin.[edit] user@host# edit system login class audit-admin [edit system login class audit-admin] user@host# set permissions security user@host# set permissions trace user@host# set permissions maintenance
-
Configure as restrições de
audit-adminclasse de login.[edit system login class audit-admin] user@host# set allow-commands "^clear (log|security log)" user@host# set deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" user@host# set security-role audit-administrator
-
Crie a aula de
crypto-adminlogin.[edit] user@host# edit system login class crypto-admin [edit system login class crypto-admin] user@host# set permissions admin-control user@host# set permissions configure user@host# set permissions maintenance user@host# set permissions security-control user@host# set permissions system-control user@host# set permissions trace
-
Configure as restrições de
crypto-adminclasse de login.[edit system login class crypto-admin] user@host# set allow-commands "^request system set-encryption-key" user@host# set deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" user@host# set allow-configuration-regexps ["security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation"] user@host# set security-role crypto-administrator
-
Crie a aula de
security-adminlogin.[edit] user@host# edit system login class security-admin [edit system login class security-admin] user@host# set permissions all
-
Configure as restrições de
security-adminclasse de login.[edit system login class security-admin] user@host# set deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell" user@host# set deny-configuration-regexps ["security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log cache" "security log exclude .* event-id IDP_.*" "system fips self-test after-key- generation"] user@host# set security-role security-administrator
-
Crie a aula de
ids-adminlogin.[edit] user@host# edit system login class ids-admin [edit system login class ids-admin] user@host# set permissions configure user@host# set permissions maintenance user@host# set permissions security-control user@host# set permissions trace
-
Configure as restrições de
ids-adminclasse de login.[edit system login class ids-admin] user@host# set allow-configuration-regexps ["security alarms potential-violation idp" "security log exclude .* event-id IDP_.*" user@host# set deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (dynamic-policies|match-policies|policies)|^start shell" user@host# set deny-configuration-regexps ["security alarms potential-violation (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"] user@host# set security-role ids-administrator
-
Atribua usuários às funções.
[edit] user@host# edit system login [edit system login] user@host# set user audit-officer class audit-admin user@host# set user crypto-officer class crypto-admin user@host# set user security-officer class security-admin user@host# set user ids-officer class ids-admin
-
Configure senhas para os usuários.
[edit system login] user@host# set user audit-officer authentication plain-text-password user@host# set user crypto-officer authentication plain-text-password user@host# set user security-officer authentication plain-text-password user@host# set user ids-officer authentication plain-text-password
Resultados
No modo de configuração, confirme sua configuração entrando no comando do sistema show . Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit]
user@host# show system
system {
login {
class audit-admin {
permissions [ maintenance security trace ];
allow-commands "^clear (log|security log)";
deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell";
security-role audit-administrator;
}
class crypto-admin {
permissions [ admin-control configure maintenance security-control system-control trace ];
allow-commands "^request (system set-encryption-key)";
deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell";
allow-configuration-regexps [ "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation" ];
security-role crypto-administrator;
}
class security-admin {
permissions [all];
deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell";
deny-configuration-regexps [ "security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log exclude .* event-id IDP_.*" "system fips self-test after-key-generation" ];
security-role security-administrator;
}
class ids-admin {
permissions [ configure maintenance security-control trace ];
deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type
(authentication | cryptographic-self-test | decryption-failures | encryption-failures
| ike-phase1-failures | ike-phase2-failures|key-generation-self-test |
non-cryptographic-self-test |policy | replay-attacks) | ^file (copy|delete|rename)
|^request (security|system set-encryption-key) | ^rollback |
^set date | ^show security (dynamic-policies|match-policies|policies) |^start shell";
allow-configuration-regexps [ "security alarms potential-violation idp" "security log exclude .* event-id IDP_.*" ];
deny-configuration-regexps "security alarms potential-violation (authentication|cryptographic-self-test|decryption-
failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|
key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"
security-role ids-administrator;
}
user audit-officer {
class audit-admin;
authentication {
encrypted-password "$1$ABC123"; ## SECRET-DATA
}
}
user crypto-officer {
class crypto-admin;
authentication {
encrypted-password "$1$ABC123."; ## SECRET-DATA
}
}
user security-officer {
class security-admin;
authentication {
encrypted-password "$1$ABC123."; ##SECRET-DATA
}
}
user ids-officer {
class ids-admin;
authentication {
encrypted-password "$1$ABC123/"; ## SECRET-DATA
}
}
}
}
Depois de configurar o dispositivo, insira o commit no modo de configuração.
Verificação
Confirme que a configuração está funcionando corretamente.
Verifique as permissões de login
Propósito
Verifique as permissões de login para o usuário atual.
Ação
No modo operacional, insira o show cli authorization comando para verificar as permissões de login do usuário.
user@host> show cli authorization
Current user: 'example' class 'super-user'
Permissions:
admin -- Can view user accounts
admin-control-- Can modify user accounts
clear -- Can clear learned network info
configure -- Can enter configuration mode
control -- Can modify any config
edit -- Can edit full files
field -- Can use field debug commands
floppy -- Can read and write the floppy
interface -- Can view interface configuration
interface-control-- Can modify interface configuration
network -- Can access the network
reset -- Can reset/restart interfaces and daemons
routing -- Can view routing configuration
routing-control-- Can modify routing configuration
shell -- Can start a local shell
snmp -- Can view SNMP configuration
snmp-control-- Can modify SNMP configuration
system -- Can view system configuration
system-control-- Can modify system configuration
trace -- Can view trace file settings
trace-control-- Can modify trace file settings
view -- Can view current values and statistics
maintenance -- Can become the super-user
firewall -- Can view firewall configuration
firewall-control-- Can modify firewall configuration
secret -- Can view secret statements
secret-control-- Can modify secret statements
rollback -- Can rollback to previous configurations
security -- Can view security configuration
security-control-- Can modify security configuration
access -- Can view access configuration
access-control-- Can modify access configuration
view-configuration-- Can view all configuration (not including secrets)
flow-tap -- Can view flow-tap configuration
flow-tap-control-- Can modify flow-tap configuration
idp-profiler-operation-- Can Profiler data
pgcp-session-mirroring-- Can view pgcp session mirroring configuration
pgcp-session-mirroring-control-- Can modify pgcp session mirroring configura
tion
storage -- Can view fibre channel storage protocol configuration
storage-control-- Can modify fibre channel storage protocol configuration
all-control -- Can modify any configuration
Individual command authorization:
Allow regular expression: none
Deny regular expression: none
Allow configuration regular expression: none
Deny configuration regular expression: none
Essa saída resume as permissões de login.
Como configurar uma conta de administrador local
Os privilégios do Superuser dão a um usuário permissão para usar qualquer comando no roteador e geralmente são reservados para alguns poucos usuários, como administradores de sistema. Você (o administrador do sistema) precisa proteger a conta do administrador local com uma senha para evitar que usuários não autorizados tenham acesso a comandos de superusuários. Esses comandos de superusário podem ser usados para alterar a configuração do sistema. Usuários com autenticação RADIUS também devem configurar uma senha local. Se o servidor RADIUS não responder, o processo de login voltará à autenticação local de senha na conta do administrador local.
O exemplo a seguir mostra como configurar uma conta de administração local protegida por senha chamada admin com privilégios de superusuper:
[edit]
system {
login {
user admin {
uid 1000;
class superuser;
authentication {
encrypted-password "<PASSWORD>"; ## SECRET-DATA
}
}
}
}