ファイル特権セット

実行可能ファイル、インタプリタ処理されるファイル、CDE アクションには、setfpriv(1) を使用してファイルマネージャによって割り当てられたファイル特権セット、またはほかの特権プログラムによって割り当てられたファイル特権セットがあります。このファイル特権セットは、強制された特権セット (強制セット) であり、かつ許容された特権セット (許容セット) です。

許容セット

許容された特権セット (以下許容セット) には、実行可能ファイル (強制されたファイルセット) に対して割り当てられる特権、または実行するプロセスによって継承されて使用される特権が含まれます。プロセスが別のプロセスから特権を継承する場合、その特権が実行可能ファイルの許容セットに存在しないかぎり、プロセスはその特権を使用できません。

許容された特権は、「トロイの木馬」型保護を提供し、システムに入りこんで別のプロセスから特権を継承するトラステッド以外のプロセスからシステムを保護します。特権の継承の詳細は、「継承可能な特権セット」を参照してください。

強制セット

強制された特権のセット (以下強制セット) には、あらゆるユーザーが実行するセキュリティ関連処理の実行を開始する場合にプログラムが必要とする特権が含まれます。強制された特権のあるコマンドは、どのシェルからも起動できます。また、強制された特権のある CDE アクションは、どのワークスペースからも起動できます。強制セットは、常に、許容セットに等しいか、あるいは許容セットのサブセットにします。そのため、強制セット内の特権はすべて、許容セット内にも存在します。

インタプリタ処理されるファイル

インタプリタ処理されるファイルは「#!」から始まるスクリプトであり、実行のためにインタプリタに読み取られます。スクリプトファイルとインタプリタは、それぞれ強制された特権セットと許容された特権セットを持つことができます。最終的な強制セットは、スクリプトに割り当てられた強制セットと、インタプリタに割り当てられた、インタプリタの許容セットによって制限される強制セットの組み合わせになります。