exec_attr 数据库
exec_attr 数据库定义需要安全属性才能成功运行的命令。这些命令是权限配置文件的一部分。具有安全属性的命令可以由为其指定了此配置文件的角色运行。
exec_attr 数据库中的字段以冒号分隔,如下所示:
name:policy:type:res1:res2:id:attr |
这些字段具有以下含义:
- profname
-
权限配置文件的名称。权限配置文件名称区分大小写。该名称指的是 prof_attr 数据库中的配置文件。
- policy
-
与此项相关联的安全策略。目前,suser 和 solaris 是有效项。solaris 策略可识别权限,而 suser 策略则不能。
- type
-
指定的实体类型。目前,唯一有效的实体类型是 cmd(命令)。
- res1:res2
-
保留以供将来使用。
- id
-
标识实体的字符串。命令应该具有全路径或带有通配符 (*) 的路径。要指定参数,请编写具有这些参数的脚本并使 id 指向此脚本。
- attr
-
以分号 (;) 分隔的关键字-值对的可选列表,用于说明将在执行时应用于实体的安全属性。可以指定零个或多个关键字。有效关键字的列表取决于强制执行的策略。
对于 suser 策略,四个有效关键字为 euid、uid、egid 和 gid。
-
euid 和 uid 关键字包含单个用户名或数字用户 ID (user ID, UID)。通过 euid 指定的命令使用提供的 UID 运行,这与在可执行文件上设置 setuid 位类似。通过 uid 指定的命令使用实际 UID 和有效 UID 运行。
-
egid 和 gid 关键字包含单个组名或数字组 ID (group ID, GID)。通过 egid 指定的命令使用提供的 GID 运行,这与在可执行文件上设置 setgid 位类似。通过 gid 指定的命令使用实际 GID 和有效 GID 运行。
对于 solaris 策略,有效关键字为 privs。值由以逗号分隔的权限列表组成。
-
以下示例显示了 exec_attr 数据库中的一些典型值:
% grep 'File System Management' /etc/security/exec_attr File System Management:suser:cmd:::/usr/sbin/ff:euid=0 File System Management:solaris:cmd:::/usr/sbin/mount:privs=sys_mount … |
- © 2010, Oracle Corporation and/or its affiliates