Trusted Solaris 관리 개요

특권 가용성의 예제

다음 표는 프로세스에 특권을 사용하는 방법을 나타냅니다. 이 표는 가정 응용프로그램에 대한 허용 특권 집합(A = 허용함, N = 허용하지 않음), 강제 특권 집합(F 표시) 및 상속 가능한 특권 집합(I 표시)을 나타냅니다.

표 1-7 응용프로그램 예제에 대한 특권 집합


특권	허용	강제	상속
file_mac_write [허용되지 않았기 때문에 사용할 수 없음 ]	N		I
file_upgrade_sl	N		I
win_dga [허용되고 강제되었기 때문에 사용할 수 있음. 상속 가능한 특권은 중복됨]	A	F	I
win_fontpath	A	F	I
win_colormap	A	F	I
file_dac_search [허용되고 상속할 수 있기 때문에 사용할 수 있음]	A		I
file_dac_read	A		I
file_chown [허용되지도 않고 상속할 수도 없기 때문에 사용할 수 없음]	A
file_dac_execute	A

예제의 해석 방법은 다음과 같습니다.

허용 집합 - 허용 집합에 없는 특권은 사용할 수 없습니다(예: file_mac_write 및 file_upgrade_sl). 이렇게 하면 특권이 부주의하게 사용되는 것을 효과적으로 방지할 수 있습니다. 허용은 되지만 강제되지 않은 특권은 해당 응용프로그램에 대한 프로파일의 상속 가능한 특권 집합에 포함되어 있는 경우에만 사용할 수 있습니다(file_dac_search 및 file_dac_read). 허용되지만 강제 또는 상속되지 않은 특권은 사용할 수 없습니다(예: file_chown 및 file_dac_execute).

강제 집합 - 응용프로그램을 실행할 수 있는 사용자는 강제되는 특권을 조건 없이 사용할 수 있습니다. 특권은 허용되지 않은 상태에서 강제될 수 없기 때문입니다(win_dga, win_fontpath 및 win_colormap는 강제된 것입니다).

상속 집합 - 상속 가능한 특권은 할당을 통해 실행 프로파일에 포함됩니다. file_chown 및 file_dac_execute을 제외한 모든 특권이 상속으로서 나타남에 유의하십시오. 상속된다고 모두 사용할 수 있는 것은 아닙니다. 상속은 되지만 허용되지 않은 특권은 사용할 수 없습니다.(예: file_mac_write 및 file_upgrade_sl).

© 2010, Oracle Corporation and/or its affiliates