直接割り当てられた特権を判断する方法
次の手順は、特権が直接割り当てられたかどうかを判断する方法です。
注意 – 直接割り当てられた特権を不適切に使用すると、無意識のうちにセキュリティーを侵害する可能性があります。詳細については、「セキュリティー属性を直接割り当てる場合に考慮すべきセキュリティー事項」を参照してください。
-
プロセスが使用可能な特権を一覧表示します。
手順については、「プロセスの特権を判断する方法」を参照してください。
-
任意のシェルでアクションを起動し、コマンドを実行します。
有効なセットに一覧表示されている特権は、セッション全体を通して有効です。基本セットに加えて特権を直接割り当てた場合、その特権は有効なセットに一覧表示されます。
例 11–9 直接割り当てられた特権の判断
直接特権が割り当てられた場合、基本セットにはデフォルトの基本セットより多くの特権が含まれます。この例では、ユーザーは常時 proc_clock_highres 特権にアクセスできます。
% /usr/ucb/whoami
jdoe
% ppriv -v $$
1800: pfksh
flags = <none>
E: file_link_any,…,proc_clock_highres,proc_session
I: file_link_any,…,proc_clock_highres,proc_session
P: file_link_any,…,proc_clock_highres,proc_session
L: cpc_cpu,dtrace_kernel,dtrace_proc,dtrace_user,…,sys_time
% ppriv -vl proc_clock_highres
Allows a process to use high resolution timers.
|
例 11–10 役割に直接割り当てられた特権の判断
役割では、管理シェルまたはプロファイルシェルが使用されます。役割を引き受けるユーザーは、役割のシェルを使用して、役割に直接割り当てられている特権を一覧表示することができます。次の例では、役割 realtime に日時のプログラムを処理する特権が直接割り当てられます。
% su - realtime
Password: <Type realtime password>
$ /usr/ucb/whoami
realtime
$ ppriv -v $$
1600: pfksh
flags = <none>
E: file_link_any,…,proc_clock_highres,proc_session,sys_time
I: file_link_any,…,proc_clock_highres,proc_session,sys_time
P: file_link_any,…,proc_clock_highres,proc_session,sys_time
L: cpc_cpu,dtrace_kernel,dtrace_proc,dtrace_user,…,sys_time
|
- © 2010, Oracle Corporation and/or its affiliates