非全局区域中的特权
仅允许进程拥有部分特权。特权限制可防止某个区域执行可能会影响其他区域的操作。通过特权设置,可以限制区域内特权用户的功能。要显示指定区域内可用特权的列表,请使用 ppriv 实用程序。
下表列出了所有 Oracle Solaris 特权以及每个特权相对于区域的状态。缺省特权集不包含可选的特权,但可以通过 limitpriv 属性指定它们。最终的特权集中必须包含必需特权。最终的特权集中不能包含禁止特权。
表 10-1 区域中特权的状态 | | |
cpc_cpu
| 可选
| 访问某些 cpc(3CPC) 计数器的权限
|
dtrace_proc
| 可选
| fasttrap 和 pid 提供器;plockstat(1M)
|
dtrace_user
| 可选
| profile 和 syscall 提供器
|
file_flag_set
|
可选
|
允许进程设置 immutable、nounlink 或 appendonly 文件属性;可用于在全局区域中将文件标记为 immutable,且非全局区域中无法删除此类文件
|
graphics_access
| 可选
| 访问 agpgart_io(7I) 的 ioctl(2)
|
graphics_map
| 可选
| 访问 agpgart_io(7I) 的 mmap(2)
|
net_rawaccess
| 在共享 IP 区域中为可选的。 在专用 IP 区域中为缺省值。
| 原始 PF_INET/PF_INET6 包访问权限
|
proc_clock_highres
| 可选
| 使用高精度计时器
|
proc_priocntl
| 可选
| 调度控制;priocntl(1)
|
sys_ipc_config
| 可选
| 增加 IPC 消息队列缓冲区大小
|
sys_time
| 可选
| 系统时间处理;xntp(1M)
|
dtrace_kernel
| 禁止
| 当前不支持
|
proc_zone
| 禁止
| 当前不支持
|
sys_config
| 禁止
| 当前不支持
|
sys_devices
| 禁止
| 当前不支持
|
sys_dl_config
| 禁止
| 当前不支持
|
sys_linkdir
| 禁止
| 当前不支持
|
sys_net_config
| 禁止
| 当前不支持
|
sys_res_config
| 禁止
| 当前不支持
|
sys_smb
| 禁止
| 当前不支持
|
sys_suser_compat
| 禁止
| 当前不支持
|
file_read
|
必需,缺省值
|
允许进程读取其权限或 ACL 允许进程读取权限的文件或目录
|
file_write
|
必需,缺省值
|
允许进程写入其权限或 ACL 允许进程写入权限的文件或目录
|
net_access
|
必需,缺省值
|
允许进程打开 TCP、UDP、SDP 或 SCTP 网络端点
|
proc_exec
| 必需,缺省值
| 用于启动 init(1M)
|
proc_fork
| 必需,缺省值
| 用于启动 init(1M)
|
sys_mount
| 必需,缺省值
| 需要用于挂载必需的文件系统
|
sys_flow_config
| 在专用 IP 区域中为必需、缺省权限。 在共享 IP 区域中为禁止权限。
| 配置流时需要
|
sys_ip_config
| 在专用 IP 区域中为必需、缺省权限。 在共享 IP 区域中为禁止权限。
| 在专用 IP 区域中需要用于引导和初始化 IP 联网
|
sys_iptun_config
| 在专用 IP 区域中为必需、缺省权限。 在共享 IP 区域中为禁止权限。
| 配置 IP 隧道链路
|
contract_event
| 缺省值
| 供合约文件系统使用
|
contract_identity
| 缺省值
| 设置进程合同模板的服务 FMRI 值
|
contract_observer
| 缺省值
| 合约调查,不考虑 UID
|
file_chown
| 缺省值
| 文件所有权更改
|
file_chown_self
| 缺省值
| 拥有文件的所有者/组更改
|
file_dac_execute
| 缺省值
| 执行访问权限,不考虑模式/ACL
|
file_dac_read
| 缺省值
| 读取访问权限,不考虑模式/ACL
|
file_dac_search
| 缺省值
| 搜索访问权限,不考虑模式/ACL
|
file_dac_write
| 缺省值
| 写入访问权限,不考虑模式/ACL
|
file_link_any
| 缺省值
| 链接访问权限,不考虑所有者
|
file_owner
| 缺省值
| 其他访问权限,不考虑所有者
|
file_setid
| 缺省值
| 更改 setid、setgid 和 setuid 文件的权限
|
ipc_dac_read
| 缺省值
| IPC 读取访问权限,不考虑模式
|
ipc_dac_write
|
缺省值
|
允许进程写入其权限位禁止进程写入权限的 System V IPC 消息队列、信号集或共享内存区段
|
ipc_dac_owner
| 缺省值
| IPC 写入访问权限,不考虑模式
|
ipc_owner
| 缺省值
| IPC 其他访问权限,不考虑模式
|
net_icmpaccess
| 缺省值
| ICMP 包访问权限:ping(1M)
|
net_observability
|
缺省值
|
允许进程打开设备接收网络通信流量,但不允许发送通信流量
|
net_privaddr
| 缺省值
| 绑定到特权端口
|
proc_audit
| 缺省值
| 生成审计记录
|
proc_chroot
| 缺省值
| 更改 root 目录
|
proc_info
| 缺省值
| 检查进程
|
proc_lock_memory
| 缺省值
| 锁定内存;shmctl(2) 和 mlock(3C) 如果系统管理员要将此特权指定给非全局区域,请同时考虑设置 zone.max-locked-memory 资源控制以防止区域锁定所有内存。
|
proc_owner
| 缺省值
| 控制进程,不考虑所有者
|
proc_session
| 缺省值
| 控制进程,不考虑会话
|
proc_setid
| 缺省值
| 任意设置用户/组 ID
|
proc_taskid
| 缺省值
| 将任务 ID 指定给调用者
|
sys_acct
| 缺省值
| 记帐管理
|
sys_admin
| 缺省值
| 简单的系统管理任务
|
sys_audit
| 缺省值
| 审计管理
|
sys_nfs
| 缺省值
| NFS 客户端支持
|
sys_ppp_config
| 在专用 IP 区域中为缺省权限 在共享 IP 区域中为禁止权限
| 创建和销毁 PPP (sppp) 接口,配置 PPP 通道 (sppptun)
|
sys_resource
| 缺省值
| 资源限制处理
|
sys_share
| 缺省值
| 允许共享文件系统所需的 sharefs 系统调用。可以在区域配置中禁止特权,以防止在区域内共享 NFS。
|
|
下表列出了区域中所有 Oracle Solaris Trusted Extensions(高可靠扩展版)特权,以及相对于区域每个特权的状态。缺省特权集不包含可选的特权,但可以通过 limitpriv 属性指定它们。
注 - 仅当使用 Oracle Trusted Extensions(高可靠扩展版)配置了系统时,才会解释 Oracle Trusted Solaris 特权。
表 10-2 区域中 Oracle Solaris Trusted Extensions(高可靠扩展版)特权的状态 | | |
file_downgrade_sl
| 可选
| 将文件或目录的敏感标签设置为不影响现有敏感标签的敏感标签
|
file_upgrade_sl
| 可选
| 将文件或目录的敏感标签设置为影响现有敏感标签的敏感标签
|
sys_trans_label
| 可选
| 转换优先级低于敏感标签的标签
|
win_colormap
| 可选
| 颜色映射限制覆盖
|
win_config
| 可选
| 配置或销毁 X 服务器永久保留的资源
|
win_dac_read
| 可选
| 从非客户机用户 ID 拥有的窗口资源中进行读取
|
win_dac_write
| 可选
| 写入或创建非客户机用户 ID 拥有的窗口资源
|
win_devices
| 可选
| 在输入设备上执行操作。
|
win_dga
| 可选
| 使用直接图形访问 X 协议扩展;需要帧缓存器特权
|
win_downgrade_sl
| 可选
| 将窗口资源的敏感标签更改为优先级低于现有标签的新标签
|
win_fontpath
| 可选
| 添加其他字体路径
|
win_mac_read
| 可选
| 从其标签优先级高于客户机标签的窗口资源中进行读取
|
win_mac_write
| 可选
| 写入其标签优先级与客户机标签优先级不同的窗口资源
|
win_selection
| 可选
| 请求移动数据,而无需确认者介入
|
win_upgrade_sl
| 可选
| 将窗口资源的敏感标签更改为优先级不低于现有标签的新标签
|
net_bindmlp
| 缺省值
| 允许绑定到多级端口 (MLP)
|
net_mac_aware
| 缺省值
| 允许通过 NFS 向下读取
|
|
要在配置非全局区域过程中更改特权,请参见配置、检验并提交区域。
要检查特权集,请参见使用 ppriv 实用程序。有关特权的更多信息,请参见 ppriv(1) 手册页和《系统管理指南:安全服务》。