特権を持つシステムと特権を持たないシステムとでは、明白な違いがいくつかあります。次の表に相違点の一部を示します。
表 8–2 特権を持つシステムと特権を持たないシステムとの明白な違い
機能 |
特権なし |
特権 |
---|---|---|
デーモン |
デーモンが root として実行されます。 |
たとえば、デーモン lockd、nfsd、rpcbind には適切な特権が割り当てられており、daemon として実行されます。 |
ログファイルの所有権 |
ログファイルは root によって所有されます。 |
ログファイルはログファイルを作成した daemon によって所有されます。root ユーザーがこのファイルを所有することはありません。 |
エラーメッセージ |
エラーメッセージでスーパーユーザーが言及されます。 たとえば、chroot: not superuser。 |
エラーメッセージで特権の使用が言及されます。 たとえば、chroot エラーと同等のエラーメッセージは chroot: exec failed。 |
setuid プログラム |
プログラムは、通常のユーザーに許可されていない作業を行うのに setuid を使用します。 |
多くの setuid プログラムは、特権を使用して実行されるように変更されました。 たとえば、ユーティリティー ufsdump、ufsrestore、rsh、rlogin、rcp、rdist、ping、traceroute、newtask は特権を使用します。 |
ファイルのアクセス権 |
デバイスアクセス権は DAC によって制御されます。たとえば、グループ sys のメンバーは /dev/ip を開くことができます。 |
デバイスを開くことができるユーザーをファイルアクセス権 (DAC) が予測することはありません。デバイスは、DAC と デバイスポリシーによって保護されます。 たとえば、/dev/ip ファイルには 666 アクセス権がありますが、デバイスを開くことができるのは適切な特権を持つプロセスだけです。raw ソケットは依然として DAC によって保護されます。 |
監査イベント |
su コマンドの使用の監査によって、多くの管理機能がカバーされます。 |
特権の使用の監査によって、ほとんどの管理機能がカバーされます。pm やasの監査クラスには、デバイスポリシーを設定する監査イベントや特権を設定する監査イベントが含まれます。 |
プロセス数 |
プロセスは、プロセスの所有者によって保護されます。 |
プロセスは特権によって保護されます。プロセス特権とプロセスフラグは、/proc/<pid> ディレクトリ内の新しいエントリである priv として確認できます。 |
デバッグ |
コアダンプ内で特権の言及はありません。 |
コアダンプの ELF 注記セクションで、NT_PRPRIV および NT_PRPRIVINFO の注記としてプロセス特権とフラグについての情報が示されます。 ppriv などのユーティリティーによって、適切にサイズ設定された特権セットの適切な数が示されます。これらのユーティリティーは、ビットセット内のビットを正しく特権名にマッピングします。 |