权限类别

可以按照以下方式根据权限范围对权限进行逻辑分组：

• 基本权限－执行最基本操作需要的核心权限。基本权限如下所示：

  • PRIV_FILE_LINK_ANY－允许进程创建指向文件的硬链接，这些文件由进程的有效 UID 以外的 UID 所有。

  • PRIV_PROC_EXEC－允许进程调用 execve()。

  • PRIV_PROC_FORK－允许进程调用 fork()、fork1() 或 vfork()。

  • PRIV_PROC_SESSION－允许进程发送信号或跟踪其会话以外的进程。

  • PRIV_PROC_INFO－允许进程检查特定进程（查询进程可以将信号发送给这些进程）以外的进程的状态。没有此权限，就无法检查在 /proc 中不能看到的进程。

  一般情况下，应该将基本权限作为集来指定，而不是分别指定。此方法将确保指定中包括 Solaris OS 更新版本中发布的所有基本权限。另一方面，应该显式禁用程序不需要的已知权限。例如，如果程序不适用于 exec(1) 子进程，则应禁用 proc_exec 权限。

• 文件系统权限。

• System V 进程间通信 (Interprocess Communication, IPC) 权限。

• 网络权限。

• 进程权限。

• 系统权限。

有关 Solaris 权限的完整列表以及说明，请参见 privileges(5) 手册页。

Solaris 提供区域功能，通过此功能，管理员可以为运行的应用程序设置隔离环境。请参见 zones(5)。由于一个区域中的进程无法监视或干扰该区域外系统中的其他活动，因此该进程的所有权限也限于该区域。但是，如果需要，可以将 PRIV_PROC_ZONE 权限应用于全局区域中需要权限才能在非全局区域中操作的进程。