Trusted Solaris 管理の手順

特権を追加するには


注 -

可能であれば、作業開始前に Trusted Solaris のご購入先に連絡をとり、特権番号の予約をとってください。


  1. ログインし、セキュリティ管理役割になります。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. ADMIN_LOW として、管理用エディタを使用して、/usr/include/sys/tsol/priv_names.h ファイルを開き、編集を行います。

    必要に応じて、「管理用エディタアクションを使用してファイルを編集するには」を参照してください。

  3. priv_names.h ファイルの先頭にあるコメントを読みます。

    コメントを次の図に示します。

    / *
    * ********************** IMPORTANT **********************
    *
    * The privilege names should be maintained in alphabetical order
    * not numeric order.
    *
    * When a privilege is retired it should be placed in the appropriate
    * reserved area in the form "tsol_reserved## = ##," or
    * "reserved## = ##".
    *
    * When a new privilege is needed, it should be taken from the first
    * available privilege in the appropriate reserved area.
    *
    * ISVs, GOTS', integrators who need privileges are encouraged to
    * request and retire them by contacting their respective Trusted
    * Solaris support representative.
    *
    * This file is parsed by the priv_to_str(3) functions.
    *
    * In order to guarantee correct parsing, the format of the
    * following priv_t definition must be preserved.
    *
    * Specifically, the following guidelines must be followed:
    *
    *	1. All privileges must have an explicitly assigned id.
    *	   DO NOT RELY ON COMPILER TO ASSIGN IDs.
    *
    *	2. One privilege id assignment per line.
    *	   DO NOT CONCATENATE OR BREAK LINES.
    *
    *	3. Do not use the `=' character at anywhere other than
    *	   the privilege id assignment.
    *	   For example, DO NOT use `=' in the comments.
  4. ファイル priv_names.h に、追加したい特権の宣言定数を持つエントリを作成します。

    入力例を次に示します。


    PRIV_RISKY = 90,
    
  5. ファイルの内容を保存し、このファイルを閉じます。


    :wq
    
  6. 管理用エディタを使用して、ファイル /usr/lib/tsol/locale/locale_name/priv_name を編集用に開きます (locale_name はロケール名を示しています)。

    たとえば、C ロケールでは、/usr/lib/tsol/locale/C/priv_name ファイルを編集します。

  7. ファイル priv_name 内に、新しい特権のための宣言定数、名前、説明を定義したエントリを作成します。


    注 -

    第 1 フィールドには、上の例のファイル priv_names.h に定義した特権の宣言定数名とまったく同じものを指定しなければなりません。


    入力例を次に示します。


    PRIV_RISKY:override everything:Allows a process to bypass all MAC and ¥
    DAC checks and auditing flag settings and be otherwise totally ¥
    unaccountable.
  8. ファイルの内容を保存し、このファイルを閉じます。


    :wq