非全局区域中的权限
仅允许进程拥有部分权限。权限限制可防止某个区域执行可能会影响其他区域的操作。通过权限设置,可以限制区域内特权用户的功能。要显示区域内可用权限的列表,请使用 ppriv 实用程序。
下表列出了所有 Solaris 权限以及相对于区域每个权限的状态。缺省权限集不包含可选权限,但可以通过 limitpriv 属性指定它们。最终的权限集中必须包含必需权限。最终的权限集中不能包含禁止权限。
从 Solaris 10 11/06 发行版开始,limitpriv 属性就已经可用了。
表 27–1 区域中权限的状态|
权限 |
状态 |
说明 |
|---|---|---|
|
cpc_cpu |
可选 |
访问某些 cpc(3CPC) 计数器的权限 |
|
dtrace_proc |
可选 |
fasttrap 和 pid 提供器;plockstat(1M) |
|
dtrace_user |
可选 |
profile 和 syscall 提供器 |
|
graphics_access |
可选 |
访问 agpgart_io(7I) 的 ioctl(2) |
|
graphics_map |
可选 |
访问 agpgart_io(7I) 的 mmap(2) |
|
net_rawaccess |
在共享 IP 区域中为可选。 在专用 IP 区域中为缺省值。 |
原始 PF_INET/PF_INET6 包访问权限 |
|
proc_clock_highres |
可选 |
使用高精度计时器 |
|
proc_priocntl |
可选 |
调度控制;priocntl(1) |
|
sys_ipc_config |
可选 |
增加 IPC 消息队列缓冲区大小 |
|
sys_time |
可选 |
系统时间处理;xntp(1M) |
|
dtrace_kernel |
禁止 |
当前不支持 |
|
proc_zone |
禁止 |
当前不支持 |
|
sys_config |
禁止 |
当前不支持 |
|
sys_devices |
禁止 |
当前不支持 |
|
sys_linkdir |
禁止 |
当前不支持 |
|
sys_net_config |
禁止 |
当前不支持 |
|
sys_res_config |
禁止 |
当前不支持 |
|
sys_suser_compat |
禁止 |
当前不支持 |
|
proc_exec |
必需,缺省 |
用于启动 init(1M) |
|
proc_fork |
必需,缺省 |
用于启动 init(1M) |
|
sys_mount |
必需,缺省 |
需要用于挂载必需的文件系统 |
|
sys_ip_config |
在专用 IP 区域中为必需、缺省权限。 在共享 IP 区域中为禁止权限。 |
在专用 IP 区域中需要用于引导和初始化 IP 联网 |
|
contract_event |
缺省值 |
供合约文件系统使用 |
|
contract_observer |
缺省值 |
合约调查,不考虑 UID |
|
file_chown |
缺省值 |
文件所有权更改 |
|
file_chown_self |
缺省值 |
拥有文件的属主/组更改 |
|
file_dac_execute |
缺省值 |
执行访问权限,不考虑模式/ACL |
|
file_dac_read |
缺省值 |
读取访问权限,不考虑模式/ACL |
|
file_dac_search |
缺省值 |
搜索访问权限,不考虑模式/ACL |
|
file_dac_write |
缺省值 |
写入访问权限,不考虑模式/ACL |
|
file_link_any |
缺省值 |
链接访问权限,不考虑属主 |
|
file_owner |
缺省值 |
其他访问权限,不考虑属主 |
|
file_setid |
缺省值 |
更改 setid、setgid 和 setuid 文件的权限 |
|
ipc_dac_read |
缺省值 |
IPC 读取访问权限,不考虑模式 |
|
ipc_dac_owner |
缺省值 |
IPC 写入访问权限,不考虑模式 |
|
ipc_owner |
缺省值 |
IPC 其他访问权限,不考虑模式 |
|
net_icmpaccess |
缺省值 |
ICMP 包访问权限: ping(1M) |
|
net_privaddr |
缺省值 |
绑定到特权端口 |
|
proc_audit |
缺省值 |
生成审计记录 |
|
proc_chroot |
缺省值 |
更改 root 目录 |
|
proc_info |
缺省值 |
检查进程 |
|
proc_lock_memory |
缺省值 |
锁定内存;shmctl(2) 和 mlock(3C) 如果系统管理员要将此权限分配给非全局区域,请同时考虑设置 zone.max-locked-memory 资源控制以防止区域锁定所有内存。 |
|
proc_owner |
缺省值 |
控制进程,不考虑属主 |
|
proc_session |
缺省值 |
控制进程,不考虑会话 |
|
proc_setid |
缺省值 |
任意设置用户/组 ID |
|
proc_taskid |
缺省值 |
将任务 ID 分配给调用方 |
|
sys_acct |
缺省值 |
记帐管理 |
|
sys_admin |
缺省值 |
简单的系统管理任务 |
|
sys_audit |
缺省值 |
审计管理 |
|
sys_nfs |
缺省值 |
NFS 客户端支持 |
|
sys_resource |
缺省值 |
资源限制处理 |
下表列出了区域中所有 Solaris Trusted Extensions(高可靠扩展版)权限,以及每个权限的状态。缺省权限集不包含可选权限,但可以通过 limitpriv 属性指定它们。
注 –
仅当使用 Solaris Trusted Extensions(高可靠扩展版)配置了系统时,才会解释这些权限。
表 27–2 区域中 Solaris Trusted Extensions(高可靠扩展版)权限的状态
|
Solaris Trusted Extensions(高可靠扩展版)权限 |
状态 |
说明 |
|---|---|---|
|
file_downgrade_sl |
可选 |
将文件或目录的敏感度标签设置为不影响现有敏感度标签的敏感度标签 |
|
file_upgrade_sl |
可选 |
将文件或目录的敏感度标签设置为影响现有敏感度标签的敏感度标签 |
|
sys_trans_label |
可选 |
转换优先级低于敏感度标签的标签 |
|
win_colormap |
可选 |
颜色映射限制覆盖 |
|
win_config |
可选 |
配置或销毁 X 服务器永久保留的资源 |
|
win_dac_read |
可选 |
从非客户机用户 ID 拥有的窗口资源中进行读取 |
|
win_dac_write |
可选 |
写入或创建非客户机用户 ID 拥有的窗口资源 |
|
win_devices |
可选 |
在输入设备上执行操作。 |
|
win_dga |
可选 |
使用直接图形访问 X 协议扩展;需要帧缓冲权限 |
|
win_downgrade_sl |
可选 |
将窗口资源的敏感度标签更改为优先级低于现有标签的新标签 |
|
win_fontpath |
可选 |
添加其他字体路径 |
|
win_mac_read |
可选 |
从其标签优先级高于客户机标签的窗口资源中进行读取 |
|
win_mac_write |
可选 |
写入其标签优先级与客户机标签优先级不同的窗口资源 |
|
win_selection |
可选 |
请求移动数据,而无需确认者介入 |
|
win_upgrade_sl |
可选 |
将窗口资源的敏感度标签更改为优先级不低于现有标签的新标签 |
|
net_bindmlp |
缺省值 |
允许绑定到多级端口 (MLP) |
|
net_mac_aware |
缺省值 |
允许通过 NFS 向下读取 |
要在配置非全局区域过程中更改权限,请参见配置、检验并提交区域。
要检查权限集,请参见使用 ppriv 实用程序。有关权限的更多信息,请参见 ppriv(1) 手册页和《系统管理指南:安全性服务》。
- © 2010, Oracle Corporation and/or its affiliates