系统管理指南：安全性服务

第 8 章使用角色和权限（概述）

Solaris 基于角色的访问控制 (role-based access control, RBAC) 和权限提供了更为安全的超级用户替代项。本章概述了有关 RBAC 以及相应权限的信息。

以下是本章中概述信息的列表：

基于角色的访问控制（概述）

基于角色的访问控制 (Role-based access control, RBAC) 是一种安全功能，用于控制用户访问那些通常仅限于超级用户访问的任务。通过对进程和用户应用安全属性，RBAC 可以在多个管理员之间划分超级用户的功能。进程权利管理通过权限实现。用户权利管理通过 RBAC 实现。

有关进程权利管理的介绍，请参见权限（概述）。
有关 RBAC 任务的信息，请参见第 9 章，使用基于角色的访问控制（任务）。
有关参考信息，请参见第 10 章，基于角色的访问控制（参考）。

RBAC：超级用户模型的替代项

在传统的 UNIX 系统中，root 用户（也称为超级用户）可执行所有功能。以 root 身份运行的程序或 setuid 程序可执行所有功能。root 用户可以读取和写入任何文件，运行所有程序，以及向任何进程发送中止信号。实际上，任何可成为超级用户的用户都能够修改站点的防火墙，更改审计跟踪，读取机密记录以及关闭整个网络。被非法修改的 setuid 程序可以在系统上执行任何操作。

基于角色的访问控制 (Role-based access control, RBAC) 提供了更为安全的全有或全无型超级用户模型替代项。使用 RBAC，可以在划分更精细的级别上强制执行安全策略。RBAC 使用最低权限的安全原则。最低权限表示用户仅具有执行某项作业所需的权限。普通用户具有足够权限来使用其应用程序、检查其作业状态、列显文件、创建新文件等。超出普通用户功能以外的功能将分为多个权限配置文件。预期要执行需要某些超级用户功能的作业的用户将承担拥有相应权限配置文件的角色。

RBAC 会将超级用户功能收集到权限配置文件中。这些权限配置文件将指定给称为角色的特殊用户帐户。然后，用户可以承担执行需要某些超级用户功能的作业的角色。预定义的权限配置文件是 Solaris 软件附带的。您可以创建角色并指定相应的配置文件。

权限配置文件可以提供广泛的功能。例如，主管理员权限配置文件等效于超级用户。权限配置文件还可以从狭义范围进行定义。例如，Cron 管理权限配置文件可管理 at 和 cron 作业。创建角色时，可以决定是创建具有广泛功能的角色，还是创建具有有限功能的角色，抑或是同时创建这两种角色。

在 RBAC 模型中，超级用户可创建一种或多种角色。这些角色基于权限配置文件。然后，超级用户会将这些角色指定给可以放心委任执行角色任务的用户。这些用户使用其用户名进行登录。登录之后，用户将承担可以运行有限管理命令和图形用户界面 (graphical user interface, GUI) 工具的角色。

由于可以灵活地设置角色，因此可启用各种安全策略。尽管 Solaris 操作系统 (Solaris OS) 没有附带任何角色，但是您可以轻松地配置三种建议的角色。这些角色基于以下同名的权限配置文件：

主管理员－等效于 root 用户或超级用户的功能强大的角色。
系统管理员－用于执行与安全性无关的管理任务的角色，其功能相对较弱。此角色可以管理文件系统、邮件以及软件安装，但是不能设置口令。
操作员－用于执行备份和打印机管理等操作的初级管理员角色。

并不一定要实现这三种角色。角色是一种实现组织安全性需要的功能。可以为各个领域（如安全性、联网或防火墙管理）中具有特殊目的的管理员设置角色。另一种策略是创建一种功能强大的管理员角色和一种高级用户角色。高级用户角色将用于那些允许修复其自身系统的各部分的用户。

超级用户模型可以与 RBAC 模型共存。下表汇总了 RBAC 模型中可能存在的、从超级用户到受限普通用户的各个等级。该表包括可以在两种模型中跟踪的管理操作。有关权限对系统的单独影响的概述，请参见表 8–2。

表 8–1 超级用户模型与具有权限的 RBAC 模型


系统上的用户功能	超级用户模型	RBAC 模型
可以成为具有全部超级用户功能的超级用户	是	是
可以使用具有全部用户功能的用户身份登录	是	是
可以成为具有有限功能的超级用户	否	是
可以使用用户身份登录，有时具有超级用户功能	是，仅使用 `setuid` 程序	是，使用 `setuid` 程序和 RBAC
可以使用具有管理功能的用户身份登录，但是没有全部超级用户功能	否	是，使用 RBAC 以及直接指定的权限和授权
可以使用功能少于普通用户的用户身份登录	否	是，使用 RBAC 和已删除的权限
可以跟踪超级用户操作	是，通过审计 `su` 命令	是，通过审计配置文件 shell 命令另外，如果禁用了 `root` 用户，则审计跟踪中会出现已经承担 `root` 角色的用户的名称

Solaris RBAC 元素和基本概念

Solaris OS 中的 RBAC 模型引入了以下元素：

授权－一种可使用户或角色执行一类可能影响安全性的操作的权限。例如，安装过程中的安全策略会为普通用户提供 solaris.device.cdrw 授权。用户可使用此授权来读取和写入 CD-ROM 设备。有关授权的列表，请参见 /etc/security/auth_attr 文件。
权限－可以授予命令、用户、角色或系统的单项权利。进程可使用权限来成功执行。例如，proc_exec 权限允许进程调用 execve()。普通用户具有基本权限。要查看基本权限，请运行 ppriv -vl basic 命令。
安全属性－可供进程用于执行操作的属性。在典型的 UNIX 环境中，进程可使用安全属性来执行原本禁止普通用户执行的操作。例如，setuid 和 setgid 程序具有安全属性。在 RBAC 模型中，普通用户执行的操作可能需要安全属性。除了 setuid 和 setgid 程序之外，授权和权限也是 RBAC 模型中的安全属性。例如，具有 solaris.device.allocate 授权的用户可以分配供独占使用的设备。具有 sys_time 权限的进程可以处理系统时间。
特权应用程序－可以通过检查安全属性来覆盖系统控制的应用程序或命令。在典型的 UNIX 环境和 RBAC 模型中，使用 setuid 和 setgid 的程序都是特权应用程序。在 RBAC 模型中，需要权限或授权才能成功执行的程序也是特权应用程序。有关更多信息，请参见特权应用程序和 RBAC。
权限配置文件－可以指定给角色或用户的管理功能的集合。一个权限配置文件由授权、具有安全属性的命令以及其他权限配置文件组成。权限配置文件提供了一种便捷的方法来对安全属性进行分组。
角色－用于运行特权应用程序的特殊身份。这种特殊身份只能由指定的用户承担。在由角色运行的系统中，超级用户并不是必需的。超级用户功能会分配给不同的角色。例如，在具有两种角色的系统中，将由安全角色处理安全任务，而第二种角色则处理与安全性无关的系统管理任务。角色可以进行更为精细的划分。例如，系统可能包括各种用于处理加密框架、打印机、系统时间、文件系统以及审计的管理角色。

下图说明了各 RBAC 元素如何协同工作。

图 8–1 Solaris RBAC 元素关系

在 RBAC 中，将角色指定给用户。用户承担某种角色时，便可使用此角色的功能。角色从权限配置文件中获取其功能。权限配置文件可以包含授权、特权命令以及其他补充权限配置文件。特权命令是指那些使用安全属性执行的命令。

下图使用操作员角色、操作员权限配置文件以及打印机管理权限配置文件来说明 RBAC 的各种关系。

图 8–2 Solaris RBAC 元素关系的示例

操作员角色用于维护打印机以及执行介质备份。此角色会指定给用户 jdoe。jdoe 通过切换到此角色然后提供角色口令，便可承担此角色。

操作员权限配置文件已指定给操作员角色。操作员权限配置文件包含两个辅助配置文件：打印机管理和介质备份。这些辅助配置文件反映了角色的主要任务。

打印机管理权限配置文件用于管理打印机、打印守护进程和假脱机程序。打印机管理权限配置文件包括三种授权：solaris.admin.printer.read、solaris.admin.printer.delete 和 solaris.admin.printer.modify。角色和用户可使用这些授权来处理打印机队列中的信息。打印机管理权限配置文件还包括一些具有安全属性的命令，例如 euid=lp 的 /usr/sbin/lpshut 以及 euid=0 的 /usr/ucb/lpq。

RBAC 授权

授权是指可以授予角色或用户的单项权利。授权可在用户应用程序级别强制执行策略。可以将授权直接指定给角色或用户。通常，授权包括在权限配置文件中，而角色拥有权限配置文件，并且角色会被指定给用户。有关示例，请参见图 8–2。

RBAC 兼容的应用程序可以先检查用户的授权，然后再授予访问应用程序或应用程序内特定操作的权限。此检查取代了传统的 UNIX 应用程序中对 UID=0 的检查。有关授权的更多信息，请参见以下各节：

授权和权限

权限可在内核中强制执行安全策略。授权和权限之间的差别会影响强制执行安全策略的级别。如果没有正确的权限，内核可能会阻止进程执行特权操作。如果没有正确的授权，可能会阻止用户使用特权应用程序或执行特权应用程序内与安全性相关的操作。有关权限的更全面的介绍，请参见权限（概述）。

特权应用程序和 RBAC

可以覆盖系统控制的应用程序和命令被视为特权应用程序。可以使用安全属性（如 UID=0）、权限和授权将应用程序变为特权应用程序。

检查 UID 和 GID 的应用程序

在 UNIX 环境中，长期以来都存在检查 root (UID=0) 或其他某个特殊 UID 或 GID 的特权应用程序。使用权限配置文件机制，可以将需要特定 ID 的命令分离出来。您可以将具有执行安全属性的命令放在权限配置文件中，而不是针对任何用户均可访问的命令更改 ID。这样，拥有此权限配置文件的用户或角色不必成为超级用户便可运行程序。

可以指定实际 ID 或有效 ID。指定有效 ID 优先于指定实际 ID。有效 ID 等效于文件权限位中的 setuid 功能，它还可以标识 UID 以进行审计。但是，由于某些 shell 脚本和程序需要 root 的实际 UID，因此也可设置实际 UID。例如，pkgadd 命令需要实际 UID 而不是有效 UID。如果使用有效 ID 不足以运行命令，则需要将此 ID 更改为实际 ID。有关过程，请参见如何创建或更改权限配置文件。

检查权限的应用程序

特权应用程序可以检查权限的使用。使用 RBAC 权限配置文件机制，可以指定特定命令的权限。您可以将具有执行安全属性的命令单独放在权限配置文件中，而无需具有使用应用程序或命令的超级用户功能。这样，拥有此权限配置文件的用户或角色便可使用成功执行命令所需的那几种权限来运行此命令。

用于检查权限的命令包括：

Kerberos 命令，如 kadmin、kprop 和 kdb5_util
网络命令，如 ifconfig、routeadm 和 snoop
文件和文件系统命令，如 chmod、chgrp 和 mount
用于控制进程的命令，如 kill、pcred 和 rcapadm

要向权限配置文件中添加具有权限的命令，请参见如何创建或更改权限配置文件。要确定特殊配置文件中用于检查权限的命令，请参见确定已指定的权限。

检查授权的应用程序

Solaris OS 还提供了用于检查授权的命令。通过定义，root 用户可具有所有授权。因此，root 用户可以运行任何应用程序。用于检查授权的应用程序包括：

整个 Solaris Management Console 的工具套件
审计管理命令，如 auditconfig 和 auditreduce
打印机管理命令，如 lpadmin 和 lpfilter
与批处理作业相关的命令，如 at、atq、batch 和 crontab
面向设备的命令，如 allocate、deallocate、list_devices 和 cdrw。

要针对授权测试脚本或程序，请参见示例 9–19。要编写需要授权的程序，请参见《Solaris 开发者安全性指南》中的“关于授权”。

RBAC 权限配置文件

权限配置文件是指可以指定给角色或用户的系统覆盖值的集合。一个权限配置文件可以包括授权、具有指定安全属性的命令以及其他权限配置文件。权限配置文件信息分放在 prof_attr 和 exec_attr 数据库中。权限配置文件的名称和授权位于 prof_attr 数据库中。权限配置文件名称和具有指定安全属性的命令位于 exec_attr 数据库中。有关权限配置文件的更多信息，请参见以下各节：

RBAC 角色

角色是一种特殊类型的用户帐户，通过此帐户可运行特权应用程序。角色与用户帐户使用相同的常规方式创建。角色具有起始目录、组指定和口令等。权限配置文件和授权可为角色提供管理功能。角色不能从其他角色或其他用户那里继承功能。各角色分配有相应的超级用户功能，因此可以实现更为安全的管理。

用户承担某种角色时，此角色的属性将替换所有用户属性。角色信息存储在 passwd、shadow 和 user_attr 数据库中。可以将角色信息添加到 audit_user 数据库中。有关设置角色的详细信息，请参见以下各节：

可以为多个用户分配一种角色。所有可以承担同一角色的用户都具有同一角色起始目录，在同一环境中运行，并且可访问相同文件。用户可以通过从命令行运行 su 命令并提供角色名称和口令来承担角色，还可以在 Solaris Management Console 工具中承担角色。

角色无法直接进行登录。用户需要首先登录，然后才能承担角色。用户承担一种角色之后，如果不首先退出当前角色，则无法承担其他角色。用户退出此角色之后，便可承担其他角色。

可以通过将 root 用户更改为角色（如如何使 root 用户成为角色中所示），防止匿名 root 进行登录。如果要审计配置文件 shell 命令 pfexec ，则审计跟踪需要包含登录用户的实际 UID、用户承担的角色以及相应角色执行的操作。要针对角色操作来审计系统或特定用户，请参见如何审计角色。

Solaris 软件没有附带任何预定义的角色。

要配置主管理员角色，请参见《系统管理指南：基本管理》中的“使用 RBAC 和 Solaris 管理工具（任务图）”。
要配置其他角色，请参见如何使用 GUI 创建和指定角色。
要在命令行中创建角色，请参见管理 RBAC（任务列表）。

RBAC 中的配置文件 Shell

角色可以通过 Solaris Management Console 启动器或配置文件 shell 来运行特权应用程序。配置文件 shell 是一种特殊的 shell，可用于识别权限配置文件包括的安全属性。当用户运行 su 命令来承担角色时，便会启动配置文件 shell。配置文件 shell 包括 pfsh、pfcsh 和 pfksh。这些 shell 分别对应于 Bourne shell (sh)、C shell (csh) 和 Korn shell (ksh)。

已直接指定有权限配置文件的用户必须调用配置文件 shell 才能运行具有安全属性的命令。有关可用性和安全性的注意事项，请参见直接指定安全属性时的安全注意事项。

可以对所有在配置文件 shell 中执行的命令进行审计。有关更多信息，请参见如何审计角色。

名称服务范围和 RBAC

名称服务范围是用于了解 RBAC 的一个重要概念。角色的范围可能会限定为单独的主机。或者，此范围还可能包括所有由名称服务（如 NIS、NIS+ 或 LDAP）提供服务的主机。文件 /etc/nsswitch.conf 指定了系统的名称服务范围。遇到第一个匹配项时，查找便会停止。例如，如果某个权限配置文件存在于两个名称服务范围中，则只使用第一个名称服务范围中的各项。如果 files 是第一个匹配项，则角色的范围将限定为本地主机。

直接指定安全属性时的安全注意事项

通常，用户通过角色来获取管理功能。授权和特权命令将分组到一个权限配置文件中，而角色拥有此权限配置文件，并且角色会指定给用户。

还可以直接指定权限配置文件和安全属性：

可以将权限配置文件、权限和授权直接指定给用户。
可以将权限和授权直接指定给角色。

但是，直接指定的做法并不安全。具有直接指定的权限的用户和角色可能会在内核需要此权限的情况下覆盖安全策略。如果某权限是权限配置文件中某个命令的安全属性，则此权限仅供拥有此权限配置文件的用户用于此命令。不能将此权限用于用户或角色可能运行的其他命令。

由于授权在用户级别执行，因此，与直接指定权限相比，直接指定授权的危险性会较小。但是，用户可使用授权来执行高度安全的任务，如委托设备管理。

直接指定给用户的权限配置文件存在的可用性问题要多于安全性问题。权限配置文件中具有安全属性的命令只能在配置文件 shell 中成功执行。用户必须打开配置文件 shell，然后再键入命令。指定有权限配置文件的角色会自动获取配置文件 shell。因此，命令可在此角色的 shell 中成功执行。

权限配置文件提供了一种可扩展的便捷方法，用于针对特定管理任务将安全特征进行分组。

权限（概述）

进程权利管理允许在命令、用户、角色和系统四个级别上对进程加以限制。Solaris OS 通过权限实现进程权利管理。权限可以降低与（在系统中具有完全超级用户功能的）某个用户或某个进程相关的安全风险。权限和 RBAC 为传统的超级用户模型提供了功能强大的替代模型。

有关 RBAC 的信息，请参见基于角色的访问控制（概述）。
有关如何管理权限的信息，请参见第 11 章，权限（任务）。
有关权限的参考信息，请参见第 12 章，权限（参考）。

权限保护内核进程

权限是进程执行某项操作所需的单项权利。权利是在内核中实施的。在 Solaris 权限基本集范围内运行的程序可在系统安全策略范围内运行。setuid 程序是在系统安全策略范围之外运行的程序示例。通过使用权限，程序可以不必调用 setuid。

权限会分别枚举针对系统的可能的操作种类。程序可以使用可使其成功执行的确切权限运行。例如，用来设置日期并将其写入管理文件的程序可能需要 file_dac_write 和 sys_time 权限。借助此功能，可以不必以 root 身份运行任何程序。

以前，系统并未遵循权限模型，而是使用超级用户模型。在超级用户模型中，进程以 root 或用户身份运行。用户进程被限定为对用户的目录和文件执行操作，root 进程则可在系统中的任何位置创建目录和文件。需要在用户目录外部创建目录的进程将使用 UID=0（即作为 root）运行。安全策略依靠 DAC（discretionary access control，自主访问控制）来保护系统文件。设备节点受到 DAC 的保护。例如，组 sys 拥有的设备只能由 sys 组的成员打开。

但是，setuid 程序、文件权限和管理帐户很容易被误用。setuid 进程所允许的操作数比该进程完成其运行过程所需的操作数多。入侵者会破坏 setuid 程序，然后以可执行所有功能的 root 用户身份运行。同样，可访问 root 口令的任何用户都可能会破坏整个系统的安全。

与之相反，通过权限来实施策略的系统允许在用户功能和 root 功能之间划分等级。可以授予用户执行超出普通用户功能的活动，并将 root 加以限制，使 root 具有的权限比目前要少。借助 RBAC，可以将使用权限运行的命令单独放在权限配置文件中，并指定给一个用户或角色。表 8–1 汇总了 RBAC 和权限模型提供的用户功能和超级用户功能之间的等级。

权限模型比超级用户模型具有更大的安全性。已从进程中删除的权限不会被利用。进程权限防止程序或管理帐户获取对所有功能的访问权限。进程权限可为敏感文件提供额外的保护措施，而 DAC 防护功能本身可被用来获取访问权限。

之后，权限可将程序和进程限制为仅具备程序所需的功能。此功能称为最低权限原则。在实现最低权限的系统上，捕获某个进程的入侵者只能访问该进程所具有的那些权限，不会破坏其余部分的系统安全。

权限说明

可以根据权限范围对权限进行逻辑分组。

FILE 权限－以字符串 file 开头并作用于文件系统对象的权限。例如，file_dac_write 权限可在写入文件时覆盖自主访问控制。
IPC 权限－以字符串 ipc 开头并覆盖 IPC 对象访问控制的权限。例如，进程可使用 ipc_dac_read 权限来读取受 DAC 保护的远程共享内存。
NET 权限－以字符串 net 开头并提供对特定网络功能进行访问的权限。例如，设备可使用 net_rawaccess 权限连接到网络。
PROC 权限－以字符串 proc 开头并允许进程修改其自身受限制属性的权限。PROC 权限包括影响非常有限的权限。例如，进程可借助 proc_clock_highres 权限来使用高分辨率的计时器。
SYS 权限－以字符串 sys 开头并为进程提供对各种系统属性进行无限制访问的权限。例如，进程可使用 sys_linkdir 权限来建立和断开指向目录的硬链接。

某些权限对系统具有有限的影响，而某些权限则具有广泛的影响。proc_taskid 权限的定义指明了其有限的影响：

proc_taskid

        Allows a process to assign a new task ID to the calling process.

file_setid 权限的定义指明了其广泛的影响：

net_rawaccess

        Allow a process to have direct access to  the  network layer.

privileges(5) 手册页中提供了每个权限的描述。ppriv -lv 命令会将对每个权限的描述显示在标准输出中。

具有权限的系统的管理差别

具有权限的系统与没有权限的系统之间存在多种明显差别。下表列出了部分差别。

表 8–2 具有权限的系统与没有权限的系统之间的明显差别


功能	没有权限	权限
守护进程	以 `root` 身份运行的守护进程。	以用户 `daemon` 身份运行的守护进程。例如，以下守护进程已指定有相应的权限，并以 `daemon` 身份运行：`lockd`、`mountd`、`nfsd` 和 `rpcbind`。
日志文件拥有权	日志文件由 `root` 拥有。	现在，日志文件由创建了此日志文件的 `daemon` 拥有。`root` 用户不拥有此文件。
错误消息	错误消息涉及超级用户。例如，`chroot:not superuser`。	错误消息反映权限的使用。例如，`chroot` 故障的等效错误消息为 `chroot:exec failed`。
`setuid` 程序	程序使用 `setuid` 来完成不允许普通用户执行的任务。	许多 `setuid` 程序都已更改为使用权限运行。例如，以下实用程序会使用权限：`ufsdump`、`ufsrestore`、`rsh`、`rlogin`、`rcp`、`rdist`、`ping`、`traceroute` 和 `newtask`。
文件权限	设备权限受 DAC 控制。例如，`sys` 组的成员可以打开 `/dev/ip`。	文件权限 (DAC) 不会预测可以打开设备的对象。设备通过 DAC 和设备策略进行保护。例如，`/dev/ip` 文件具有 `666` 种权限，但是设备只能由具有相应权限的进程打开。原始套接字仍受 DAC 保护。
审计事件	对 `su` 命令的使用进行审计涉及许多管理功能。	对权限的使用进行审计涉及大多数管理功能。`pm` 和 `as` 审计类包括用于配置设备策略的审计事件以及用于设置权限的审计事件。
进程	进程受进程属主保护。	进程受权限保护。进程权限和进程标志可显示为 `/proc/<pid>` 目录中的一个新项 `priv`。
调试	核心转储中不引用任何权限。	核心转储的 ELF 注释部分包括有关 `NT_PRPRIV` 和 `NT_PRPRIVINFO` 注释中的进程权限和标志的信息。 `ppriv` 实用程序和其他实用程序可显示大小合适的集的正确数目。这些实用程序会将位集中的位正确映射为权限名称。

如何实现权限

每个进程都有四个权限集，用于确定进程是否可以使用特定权限。内核会自动计算权限的有效集。可以修改权限的初始可继承集。通过编码来使用权限的程序可以减小程序的权限允许集。可以缩小权限的限制集。

有效权限集 (E)－当前有效的权限集。进程可以将允许集中的权限添加到有效集，还可以从 E 中删除权限。
允许权限集 (P)－可用的权限集。权限可通过继承或指定来供程序使用。执行配置文件便是一种将权限指定给程序的方法。setuid 命令可将 root 具有的所有权限指定给程序。可从允许集中删除权限，但不能向该集中添加权限。从 P 中删除的权限会自动从 E 中删除。

权限识别程序会从程序的允许集中删除该程序从不使用的权限。通过这种方法，程序或恶意进程便无法使用不必要的权限。有关可识别权限的程序的更多信息，请参见《Solaris 开发者安全性指南》中的第 2 章 “开发特权应用程序”。
可继承权限集 (I)－进程可以通过调用 exec 而继承的权限集。调用 exec 之后，允许集和有效集便会相同，但是 setuid 程序的特殊情况除外。

对于 setuid 程序，调用 exec 之后，可继承集会首先受限制集的限制。然后，将继承的权限集 (I) 减去限制集 (L) 中的所有权限后的权限指定给此进程的 P 和 E。
限制权限集 (L)－可用于进程及其子进程的权限的外部限制。缺省情况下，限制集为所有权限。进程可以缩小限制集，但是永远不能扩展限制集。L 用于限制 I。因此，L 会在调用 exec 时限制 P 和 E。

如果已为用户指定的配置文件中包括已指定有权限的程序，则此用户通常可以运行此程序。在未修改的系统上，为此程序指定的权限位于此用户的限制集中。已为程序指定的权限会成为此用户允许集的一部分。要运行已指定有权限的程序，用户必须从配置文件 shell 运行此程序。

内核可识别基本权限集。在未修改的系统上，每个用户的初始可继承集等效于登录时获取的基本集。可以修改用户的初始可继承集，但不能修改基本集。

在未修改的系统上，用户在登录时的权限集将显示以下类似信息：

E (Effective): basic

I (Inheritable): basic

P (Permitted): basic

L (Limit): all

因此，登录时所有用户在其各自的可继承集、允许集和有效集中包含基本集。用户的限制集包含所有权限。要在用户的有效集中加入更多权限，必须为该用户指定一个权限配置文件。此权限配置文件将包括已向其中添加了权限的命令。还可以将权限直接指定给用户或角色，尽管这种权限指定可能会存在风险。有关风险的介绍，请参见直接指定安全属性时的安全注意事项。

进程如何获取权限

进程可以继承权限。或者，可以为进程指定权限。进程从其父进程继承权限。登录时，用户的初始可继承权限集确定可用于此用户进程的权限。用户初始登录的所有子进程都可继承此权限集。

还可以将权限直接指定给程序、用户和角色。当某个程序需要权限时，可以在权限配置文件中将权限指定给此程序的可执行文件。允许运行此程序的用户或角色会被指定包括此程序的配置文件。登录或进入配置文件 shell 时，如果在配置文件 shell 中键入程序的可执行文件，则可使用权限运行此程序。例如，拥有对象访问管理配置文件的角色可以使用 file_chown 权限运行 chmod 命令。

当某个角色或用户运行已直接指定有其他权限的程序时，指定的权限会添加到此角色或用户的可继承集中。指定有权限的程序的子进程会继承父进程的权限。如果子进程需要的权限比父进程的权限多，则必须为子进程直接指定这些权限。

通过编码来使用权限的程序称为可识别权限的程序。可识别权限的程序可在程序执行过程中启用和禁用权限。要在生产环境中成功执行，必须为程序指定其启用和禁用的权限。

有关可识别权限的代码的示例，请参见《Solaris 开发者安全性指南》中的第 2 章 “开发特权应用程序”。要为需要权限的程序指定权限，请参见如何为命令添加权限。

指定权限

您作为系统管理员应负责指定权限。通常，可在权限配置文件中将权限指定给命令。然后，将权限配置文件指定给角色或用户。Solaris Management Console 提供了图形用户界面 (graphical user interface, GUI) 来指定权限。还可以使用 smuser 和 smrole 等命令来指定权限。有关如何使用 GUI 来指定权限的更多信息，请参见第 9 章，使用基于角色的访问控制（任务）。

还可以将权限直接指定给用户。如果您相信某些用户在其整个会话过程中会负责地使用某种权限，则可以直接指定此权限。适合直接指定的权限是具有有限影响的权限，如 proc_clock_highres。不适合直接指定的权限是具有广泛影响的权限，如 file_dac_write。

还可以拒绝为用户或系统指定权限。从用户或系统的初始可继承集或限制集中删除权限时必须谨慎。

扩展用户或角色的权限

用户和角色具有可继承权限集以及限制权限集。限制集不能扩展，因为限制集最初包括所有权限。可以针对用户、角色和系统扩展初始可继承集。还可以将不在可继承集中的权限指定给进程。

按进程指定权限是最精确的添加权限方法。可以通过允许某用户承担某种角色，扩展此用户可执行的特权操作的数目。可以为角色指定包括具有已添加权限的命令的配置文件。用户承担角色时，便会获取此角色的配置文件 shell。通过在角色的 shell 中键入角色配置文件中的命令，便可使用已添加的权限执行这些命令。

还可以将配置文件指定给用户而不是用户承担的角色。配置文件可包括具有已添加权限的命令。用户打开配置文件 shell（如 pfksh）时，便可使用权限执行用户配置文件中的命令。在常规 shell 中，不使用权限执行命令。特权进程只能在特权 shell 中执行。

扩展用户、角色或系统的初始可继承权限集是一种风险性较高的指定权限方法。可继承集中的所有权限都位于允许集和有效集中。用户或角色在 shell 中键入的所有命令都可以使用直接指定的权限。使用直接指定的权限，用户或角色可以轻松执行可能超出其管理职责范围的操作。

向某系统上的初始可继承权限集中添加权限后，所有登录到此系统的用户都会具有更大的基本权限集。通过这种直接指定，系统的所有用户都可以轻松执行可能超出普通用户执行范围的操作。

限制用户或角色的权限

通过删除权限，可以防止用户和角色执行特定的任务。可以从初始可继承集和限制集中删除权限。分配小于缺省集的初始可继承集或限制集之前，应谨慎地对权限删除进行测试。通过从初始可继承集中删除权限，可能会使用户无法登录。从限制集中删除权限后，传统的 setuid 程序可能会失败，因为此程序需要的权限已被删除。

向脚本指定权限

脚本与命令一样，也是可执行文件。因此，在权限配置文件中，可以将权限添加到脚本中，就像将权限添加到命令中一样。已指定有配置文件的用户或角色在配置文件 shell 中执行脚本时，将会使用已添加的权限来运行脚本。如果脚本包含需要权限的命令，则具有已添加权限的命令也应该位于配置文件中。

可识别权限的程序可以限制每个进程的权限。包含可识别权限的程序的作业是指为可执行文件指定此程序所需的确切权限。然后测试此程序，查看此程序是否成功执行了其任务。还可以检查此程序是否误用了其权限。

权限和设备

权限模型使用权限来保护系统接口，这些接口在超级用户模型中单独由文件权限保护。在具有权限的系统中，文件权限太小，因此无法保护这些接口。proc_owner 等权限可以覆盖文件权限，然后提供对所有系统的完全访问权限。

因此，具有设备目录的拥有权不足以打开设备。例如，不再自动允许 sys 组的成员打开 /dev/ip 设备。/dev/ip 的文件权限为 0666，但是需要 net_rawaccess 权限才能打开设备。

设备策略受权限控制。getdevpolicy 命令可显示每个设备的设备策略。设备配置命令 devfsadm 可用于安装设备策略。devfsadm 命令可将权限集与 open 绑定，以便设备读取或写入。有关更多信息，请参见 getdevpolicy(1M) 和 devfsadm(1M) 手册页。

使用设备策略，可以更灵活地为打开的设备授予权限。您可以要求与缺省设备策略不同的权限，或者比其更多的权限。可以针对设备策略和驱动程序适当地修改权限要求。可以在安装、添加或更新设备驱动程序时修改权限。

add_drv 和 update_drv 命令可以修改设备策略项以及驱动程序特定的权限。必须使用完整的权限集运行进程才能更改设备策略。有关更多信息，请参见 add_drv(1M) 和 update_drv(1M) 手册页。

权限和调试

Solaris OS 提供了各种工具来调试权限故障。ppriv 命令和 truss 命令可提供调试输出。有关示例，请参见 ppriv(1) 手册页。有关过程，请参见如何确定程序所需的权限。

第 8 章 使用角色和权限（概述）