비전역 영역의 권한
프로세스는 권한의 일부로 제한됩니다. 권한 제한은 영역에서 다른 영역에 영향을 줄 수
있는 작업을 수행하지 못하도록 방지합니다. 권한 설정은 영역 내에서 권한 있는 사용자의
기능을 제한합니다. 지정된 영역에서 사용할 수 있는 권한 목록을 표시하려면 ppriv 유틸리티를
사용합니다.
다음 표는 영역에 관한 모든 Oracle Solaris 권한과 각 권한의 상태를 보여
줍니다. 선택적 권한은 기본 권한 세트에 포함되지 않지만 limitpriv 등록 정보를 통해
지정할 수 있습니다. 필수 권한은 결과 권한 세트에 포함되어야 합니다. 금지된 권한은
결과 권한 세트에 포함될 수 없습니다.
표 25-1 영역의 권한 상태
|
|
|
cpc_cpu |
선택 사항 |
특정 cpc(3CPC) 카운터에 액세스 |
dtrace_proc |
선택 사항 |
fasttrap 및
pid 공급자, plockstat(1M) |
dtrace_user |
선택 사항 |
profile 및 syscall 공급자 |
graphics_access |
선택 사항 |
ioctl(2)에서 agpgart_io(7I)에 액세스 |
graphics_map |
선택 사항 |
mmap(2)에서 agpgart_io(7I)에
액세스 |
net_rawaccess |
공유 IP 영역에서는 선택 사항입니다. 배타적 IP 영역에서는 기본값입니다. |
원시 PF_INET/PF_INET6 패킷 액세스 |
proc_clock_highres |
선택 사항 |
고해상도
타이머 사용 |
proc_priocntl |
선택 사항 |
예약 제어: priocntl(1) |
sys_ipc_config |
선택 사항 |
IPC 메시지 대기열 버퍼 크기 증가 |
sys_time |
선택 사항 |
시스템
시간 조작: xntp(1M) |
dtrace_kernel |
금지됨 |
현재 지원되지 않음 |
proc_zone |
금지됨 |
현재 지원되지 않음 |
sys_config |
금지됨 |
현재 지원되지 않음 |
sys_devices |
금지됨 |
현재 지원되지 않음 |
sys_dl_config |
금지됨 |
현재 지원되지
않음 |
sys_linkdir |
금지됨 |
현재 지원되지 않음 |
sys_net_config |
금지됨 |
현재 지원되지 않음 |
sys_res_config |
금지됨 |
현재 지원되지 않음 |
sys_smb |
금지됨 |
현재 지원되지 않음 |
sys_suser_compat |
금지됨 |
현재 지원되지 않음 |
proc_exec |
필수, 기본값 |
init(1M)을
시작하는 데 사용됨 |
proc_fork |
필수, 기본값 |
init(1M)을 시작하는 데 사용됨 |
sys_mount |
필수, 기본값 |
필수 파일 시스템을 마운트하는 데
필요함 |
sys_flow_config |
필수, 배타적 IP 영역에서는 기본값 공유 IP 영역에서는 금지됨 |
플로우를 구성하는 데 필요함 |
sys_ip_config |
필수, 배타적
IP 영역에서는 기본값 공유 IP 영역에서는 금지됨 |
영역을 부트하고 배타적 IP 영역에서 IP 네트워킹을
초기화하는 데 필요함 |
sys_iptun_config |
필수, 배타적 IP 영역에서는 기본값 공유 IP 영역에서는 금지됨 |
IP 터널 링크
구성 |
contract_event |
기본값 |
계약 파일 시스템에서 사용됨 |
contract_identity |
기본값 |
프로세스 계약 템플리트의 서비스 FMRI 값 설정 |
contract_observer |
기본값 |
UID에 상관없이 계약
관찰 |
file_chown |
기본값 |
파일 소유권 변경 |
file_chown_self |
기본값 |
소유한 파일의 소유자/그룹 변경 |
file_dac_execute |
기본값 |
모드/ACL에 상관없이 실행 액세스 |
file_dac_read |
기본값 |
모드/ACL에 상관없이 읽기 액세스 |
file_dac_search |
기본값 |
모드/ACL에
상관없이 검색 액세스 |
file_dac_write |
기본값 |
모드/ACL에 상관없이 쓰기 액세스 |
file_link_any |
기본값 |
소유자에 상관없이 링크 액세스 |
file_owner |
기본값 |
소유자에 상관없이 기타 액세스 |
file_setid |
기본값 |
setid,
setgid, setuid 파일에 대한 권한 변경 |
ipc_dac_read |
기본값 |
모드에 상관없이 IPC 읽기 액세스 |
ipc_dac_owner |
기본값 |
모드에 상관없이 IPC
쓰기 액세스 |
ipc_owner |
기본값 |
모드에 상관없이 IPC 기타 액세스 |
net_icmpaccess |
기본값 |
ICMP 패킷 액세스: ping(1M) |
net_privaddr |
기본값 |
권한 부여된 포트에 바인딩 |
proc_audit |
기본값 |
감사
레코드 생성 |
proc_chroot |
기본값 |
root 디렉토리 변경 |
proc_info |
기본값 |
프로세스 검사 |
proc_lock_memory |
기본값 |
메모리 잠금: shmctl(2)및 mlock(3C) 시스템 관리자가 이 권한을 비전역
영역에 지정한 경우 영역에서 모든 메모리를 잠그지 못하도록 zone.max-locked-memory 리소스 제어를 설정하는
것이 좋습니다. |
proc_owner |
기본값 |
소유자에 상관없이 프로세스 제어 |
proc_session |
기본값 |
세션에 상관없이 프로세스 제어 |
proc_setid |
기본값 |
사용자/그룹 ID를 마음대로 설정 |
proc_taskid |
기본값 |
호출자에게 작업
ID 지정 |
sys_acct |
기본값 |
계정 관리 |
sys_admin |
기본값 |
간단한 시스템 관리 작업 |
sys_audit |
기본값 |
감사 관리 |
sys_nfs |
기본값 |
NFS 클라이언트 지원 |
sys_ppp_config |
배타적 IP 영역의 기본값 공유
IP 영역에서는 금지됨 |
PPP(sppp) 인터페이스 만들기 및 삭제, PPP 터널(sppptun) 구성 |
sys_resource |
기본값 |
리소스 제한 조작 |
sys_share |
기본값 |
파일
시스템을 공유하는 데 필요한 sharefs 시스템 호출을 허용합니다. 영역 구성에서 권한을 금지하여
영역에서 NFS 공유를 금지할 수 있습니다. |
|
다음 표는 영역에 관한 모든 Oracle Solaris Trusted Extensions 권한과 각 권한의
상태를 보여 줍니다. 선택적 권한은 기본 권한 세트에 포함되지 않지만 limitpriv 등록
정보를 통해 지정할 수 있습니다.
주 - Oracle Trusted Solaris 권한은 Oracle Trusted Extensions를 사용하여 시스템을 구성한 경우에만 해석됩니다.
표 25-2 영역의 Oracle Solaris Trusted Extensions 권한 상태
|
|
|
file_downgrade_sl |
선택 사항 |
파일 또는 디렉토리의 민감도 레이블을 기존 민감도 레이블을
지배하지 않는 민감도 레이블로 설정 |
file_upgrade_sl |
선택 사항 |
파일 또는 디렉토리의 민감도 레이블을 기존 민감도
레이블을 지배하는 민감도 레이블로 설정 |
sys_trans_label |
선택 사항 |
민감도 레이블에 의해 지배되지 않는 레이블 변환 |
win_colormap |
선택
사항 |
색상맵 제한 대체 |
win_config |
선택 사항 |
X 서버에서 영구히 보존되는 리소스 구성 또는 삭제 |
win_dac_read |
선택 사항 |
클라이언트의
사용자 ID가 소유하지 않은 창 리소스에서 읽기 |
win_dac_write |
선택 사항 |
클라이언트의 사용자 ID가 소유하지 않은
창 리소스에 쓰기 또는 창 리소스 만들기 |
win_devices |
선택 사항 |
입력 장치에서 작업을 수행합니다. |
win_dga |
선택 사항 |
직접
그래픽 액세스 X 프로토콜 확장 사용, 프레임 버퍼 권한 필요 |
win_downgrade_sl |
선택 사항 |
창 리소스의
민감도 레이블을 기존 레이블에 지배되는 새 레이블로 변경 |
win_fontpath |
선택 사항 |
다른 글꼴 경로 추가 |
win_mac_read |
선택
사항 |
클라이언트의 레이블을 지배하는 레이블을 가진 창 리소스에서 읽기 |
win_mac_write |
선택 사항 |
클라이언트의 레이블과 다른 레이블을
가진 창 리소스에 쓰기 |
win_selection |
선택 사항 |
확인자의 개입 없이 데이터 이동 요청 |
win_upgrade_sl |
선택 사항 |
창 리소스의
민감도 레이블을 기존 레이블에 지배되지 않는 새 레이블로 변경 |
net_bindmlp |
기본값 |
MLP(다중 레벨 포트)에 바인딩
허용 |
net_mac_aware |
기본값 |
NFS를 통해 아래로 읽기 허용 |
|
비전역 영역 구성에서 권한을 변경하려면 영역 구성, 확인 및 커밋을 참조하십시오.
권한 세트를 검사하려면 ppriv 유틸리티 사용을 참조하십시오. 권한에 대한 자세한 내용은 ppriv(1) 매뉴얼 페이지
및 시스템 관리 설명서: 보안 서비스를 참조하십시오.