device_allocate 文件

启用审计服务后，bsmconv 命令会创建初始 /etc/security/device_allocate 文件。此初始 device_allocate 文件可以用作起始点。可以修改 device_allocate 文件，以将设备从可分配更改为不可分配，或者添加新设备。以下是一个 device_allocate 文件样例。

st0;st;;;;/etc/security/lib/st_clean

fd0;fd;;;;/etc/security/lib/fd_clean

sr0;sr;;;;/etc/security/lib/sr_clean

audio;audio;;;*;/etc/security/lib/audio_clean

device_allocate 文件中的项并不表示此设备是可分配的，除非此项专门声明此设备是可分配的。请注意 device_allocate 文件样例中音频设备项第五个字段中的星号 (*)。第五个字段中的星号向系统指示此设备不是可分配的。因此，不能使用此设备。如果此字段中存在其他值或没有值，则指示可以使用此设备。

在 device_allocate 文件中，每个设备由仅占一行的项表示，该项的格式如下：

device-name;device-type;reserved;reserved;auths;device-exec

device_allocate 文件中的行可以用反斜杠 (\) 结束，以在下一行继续项。也可以包括注释。井号 (#) 注释前面未紧跟反斜杠的下一个新行之前的所有后续文本。所有字段都允许前导空格和后缀空格。字段定义如下：

device-name

指定此设备的名称。有关当前设备名称的列表，请参见如何查看有关设备的分配信息。

device-type

指定通用设备类型。通用名称是设备类的名称，例如 st、fd 和 sr。device-type 字段在逻辑上将相关设备分组。使设备可分配后，可 device_maps 文件的 device-type 字段中检索设备名称。

reserved

Sun 保留两个标记为 reserved 的字段以供将来使用。

auths

指定此设备是否可分配。此字段中的星号 (*) 指示此设备是不可分配的。授权字符串或空字段指示此设备是可分配的。例如，auths 字段中的字符串 solaris.device.allocate 指示需要 solaris.device.allocate 授权才能分配此设备。此文件中的 at 符号 (@) 指示任何用户都可以分配此设备。

device-exec

提供为特殊处理（例如分配进程期间的清除和对象重用保护）而调用的脚本的路径名称。每当 deallocate 命令对此设备执行操作时，都会运行 device-exec 脚本。

例如，sr0 设备的以下项指示具有 solaris.device.allocate 授权的用户可以分配 CD-ROM 驱动器：

sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean

可以决定接受缺省设备及其已定义特征。安装新设备后，可以修改这些项。任何需要在使用之前分配的设备都必须在该设备系统的 device_allocate 和 device_maps 文件中定义。当前，将盒式磁带机、软盘驱动器、CD-ROM 驱动器和音频芯片视为可分配的。这些设备类型具有设备清理脚本。

Xylogics^TM 磁带机或归档磁带机还使用为 SCSI 设备提供的 st_clean 脚本。需要为其他设备（如调制解调器、终端、图形输入板和其他可分配设备）创建自己的设备清理脚本。脚本必须满足此类型设备的对象重用要求。