直接指定安全属性时的安全注意事项

通常，用户通过角色来获取管理功能。授权和特权命令将分组到一个权限配置文件中，而角色拥有此权限配置文件，并且角色会指定给用户。

还可以直接指定权限配置文件和安全属性：

• 可以将权限配置文件、权限和授权直接指定给用户。

• 可以将权限和授权直接指定给角色。

但是，直接指定的做法并不安全。具有直接指定的权限的用户和角色可能会在内核需要此权限的情况下覆盖安全策略。如果某权限是权限配置文件中某个命令的安全属性，则此权限仅供拥有此权限配置文件的用户用于此命令。不能将此权限用于用户或角色可能运行的其他命令。

由于授权在用户级别执行，因此，与直接指定权限相比，直接指定授权的危险性会较小。但是，用户可使用授权来执行高度安全的任务，如委托设备管理。

直接指定给用户的权限配置文件存在的可用性问题要多于安全性问题。权限配置文件中具有安全属性的命令只能在配置文件 shell 中成功执行。用户必须打开配置文件 shell，然后再键入命令。指定有权限配置文件的角色会自动获取配置文件 shell。因此，命令可在此角色的 shell 中成功执行。

权限配置文件提供了一种可扩展的便捷方法，用于针对特定管理任务将安全特征进行分组。