进程权利管理

此功能是 Software Express 试点计划中的新增功能。Solaris 10 3/05 发行版中也包含此功能。

在 Solaris 软件中，以前要求超级用户权利的管理任务现在通过进程权利管理来保护。进程权利管理在命令、用户、角色和系统四个级别上使用权限对进程加以限制。权限是进程执行某项操作所需的单项权利。系统将进程限制为仅具有执行当前任务所需的权限。这样，易被使用的 root 进程就会减少。setuid 程序的数量也会显著减少。

就权限的增强功能而言，安装的 Software Express 发行版和 Solaris 10 3/05 发行版与以前的 Solaris 操作系统版本完全兼容。作为 root 运行的未修改程序可以使用所有权限来运行。

设备保护－使用安全策略对设备进行保护。此策略通过权限得以增强。因此，设备文件的权限并不能完全确定设备的可用性。操作设备也可能需要权限。

受 UNIX 权限保护的系统接口现在受权限保护。例如，不再自动允许 sys 组的成员打开 /dev/ip 设备。使用 net_rawaccess 权限运行的进程可以访问 /dev/ip 设备。系统引导时，限制对所有设备的访问，直到按引导顺序运行到 devfsadm 命令为止。初始化策略应尽可能严格。此策略可以防止超级用户以外的所有用户启动连接。

有关更多信息，请参见以下手册页：

• getdevpolicy(1M)

• ppriv(1)

• add_drv(1M)

• update_drv(1M)

• rem_drv(1M)

• devfsadm(1M)

需要检索 Solaris IP MIB 信息的进程应打开 /dev/arp，然后推送 "tcp" 和 "udp" 模块。此方法不需要权限，它等同于打开 /dev/ip 然后推送 "arp"、"tcp" 和 "udp" 模块。现在，由于打开 /dev/ip 需要权限，因此 /dev/arp 是首选方法。

有关详细信息，请参见《System Administration Guide: Security Services 》中的以下各节：

• “使用角色和权限（概述）”

• “权限（概述）”

• “权限（任务）”