Trusted Solaris システムにおけるシェルスクリプトの動作のまとめ

• I特権を必要とするコマンドを含まないスクリプトであれば、テキストエディタを使用できるどのユーザーでも作成することができる

• ソフトウェアへのアクセス権を持ち、シェルスクリプトを解釈するためのシェルを実行できるユーザーであれば、だれでもシェルスクリプトを使うことができる

• シェルスクリプトの「強制された特権」は、その中のコマンドに特権を引き渡さない

• シェルスクリプトの「許容された特権」によって、シェルスクリプトによって実行されるプログラムで使用できる特権が変わることはない

  スクリプトのファイルの「許容セット」ではなく、呼び出されたシェルのファイルの「許容セット」がチェックされます。

• 呼び出したユーザーのプロファイルに設定されているシェルスクリプトに、そのコマンドに必要な特権が指定されている場合に限り、プロファイルシェルで呼び出された標準のシェルスクリプトは実行するコマンドに特権を引き渡すことができる

  コマンドがそのプログラムファイル上に「許容された特権」を持っていれば、シェルスクリプトは、そのコマンドによって継承される特権を引き渡すことができます。コマンドは標準のシェル内で実行されるため、呼び出すアカウントのプロファイルに特権を指定してコマンドを設定することは無意味です。これは、標準のシェルがプロファイルデータベースを参照しないからです。次の図を参照してください。

図 16-5 pfsh で呼び出されたシェルスクリプトがコマンドに継承可能特権を引き渡す方法

• 呼び出したユーザーのプロファイルに必要な特権と一緒にコマンドが設定されている場合、プロファイルシェルを使用するシェルスクリプトは、使用するシェルの種類に関わらずコマンドに特権を引き渡すことができる