特権の可用性 (例)

次の表は、プロセスが特権を獲得する方法を、例を挙げて示したものです。この表では、あるアプリケーションを想定して、それに対する許容セット、強制セット、継承可能セットの例を示します。

表 1-7 アプリケーションに割り当てられた特権セット (例)

特権	許容セット	強制セット	継承可能セット
file_mac_write [許容されていないため使用不能]			○
file_upgrade_sl			○
win_dga [許容され強制されているため使用可能。継承可能な特権は重複]	○	○	○
win_fontpath	○	○	○
win_colormap	○	○	○
file_dac_search [許容され継承可能であるため使用可能]	○		○
file_dac_read	○		○
file_chown [強制されておらず継承不可能なため使用不能]	○
file_dac_execute	○

この例からは、次のことがわかります。

• 許容セット - 許容セットに含まれない特権は使用できない (例 : file_mac_write、file_upgrade_sl) ため、強力な特権を許容セットに含めないようにして、不用意に使用されるのを防ぐことができる。許容されているだけで強制されていない特権は、同じアプリケーションのプロファイルの継承可能セットに含まれている場合だけ使用可能 (例 : file_dac_search、file_dac_read)。許容されているだけで強制されておらず、継承可能でもない特権は、使用できない (例 : file_chown、file_dac_execute)

• 強制セット - 強制された特権は、そのアプリケーションを実行できるユーザーであれば無条件に使用できる。ただし、許容されていない特権を強制することはできない (win_dga、win_fontpath、win_colormap は、許容された特権のうち強制されたもの)

• 継承可能なセット - 継承可能な特権は、指定するだけで実行プロファイルに追加できる。上の表では、file_chown と file_dac_execute 以外はすべて継承可能だが、継承可能でも使用可能であるとは限らない。継承可能な特権でも、許容されていなければ使用不能 (例 : file_mac_write、file_upgrade_sl)