特権操作

ファイル特権セットの取得と設定を行うシステムコールは、ファイルに対する必須アクセスと任意アクセスを必要とし、アクセスが拒否される場合は特権が必要な場合があります。詳細は、getfpriv(2) のマニュアルページを参照してください。

ファイル特権セットの設定

setfpriv(1) と fsetfpriv(2) システムコールを使用してファイル特権セットを設定するには、file_setpriv 特権が必要です。

実行可能ファイルのファイル特権セットを保持する

プロセスが実行可能ファイルに情報を書き込む場合、ファイルの強制された特権セットと許容された特権セットが none に設定されることを防ぐには、file_setpriv 特権が必要です。

コアファイル

特権プロセスがコアファイルを作成する場合、proc_dumpcore 特権が有効 (オン) でなければなりません。これは、特権プロセスからのコアファイルには機密度の高い情報が含まれている可能性が高いためです。この特権をオフにすれば、コアファイルは作成されません。デバッグのために、プロセスの開始から完了までオンにする以外は、この特権はオフにしておくべきです。

ID の設定

呼び出し元のプロセスは、ユーザー ID、グループ ID、追加グループ ID のいずれかを変更する場合、有効セット内に proc_setid 特権を必要とします。