程序權限管理
這是 Software Express 試驗程式中的新增功能。Solaris 10 3/05 發行版本中有此功能。
在 Solaris 軟體中,之前需要超級使用者權限的管理作業現在受到程序權限管理的保護。程序權限管理使用特權來限制指令、使用者、角色或系統層級的處理。特權是指處理執行作業時所需的抽象權限。系統限制處理僅能有執行目前作業所需的特權。因此,能夠利用的 root 處理變得更少。setuid 程式的數量銳減。
Software Express 和 Solaris 10 發行版本在安裝後,會和 Solaris 作業系統之前的發行版本在特權增強功能方面完全相容。以 root 執行的未修改程式會使用所有權限執行。
裝置保護—使用安全策略保護的裝置。該策略會以特權強制執行。因此,裝置檔案上的權限並無法完全決定裝置的可用性。操作裝置可能也需要特權。
系統介面之前受到 UNIX 權限保護,現在則受到特權保護。例如,不再自動允許 sys 群組成員開啟 /dev/ip 裝置。使用 net_rawaccess 權限執行的程序能存取 /dev/ip 裝置。系統啟動時,啟動順序期間執行 devfsadm 指令之前,會限制所有裝置的存取。初始策略會儘可能地嚴格。該策略可防止超級使用者以外的所有使用者啟動連線。
如需更多資訊,請參閱下列線上手冊:
-
「getdevpolicy(1M) 線上手冊」
-
「ppriv(1) 線上手冊」
-
「add_drv(1M) 線上手冊」
-
「update_drv(1M) 線上手冊」
-
「rem_drv(1M) 線上手冊」
-
「devfsadm(1M) 線上手冊」
需要擷取 Solaris IP MIB 資訊的程序應開啟 /dev/arp 並推入「tcp」及「udp」模組。不需要特權。此方法等同於開啟 /dev/ip 並推入「arp」、「tcp」及「udp」模組。由於現在需要權限才能開啟 /dev/ip,因此最好使用 /dev/arp 方法。
如需進一步資訊,請參閱「System Administration Guide: Security Services」中的以下各章節:
-
「Using Roles and Privileges (Overview)」
-
「Privileges (Overview)」
-
「Privileges (Tasks)」
- © 2010, Oracle Corporation and/or its affiliates