Berechtigungen in einer nicht-globalen Zone
Prozesse sind auf bestimmte Berechtigungen beschränkt. Die Einschränkung von Berechtigungen verhindert, dass Vorgänge in einer Zone ausgeführt werden, die sich auf andere Zonen auswirken könnten. Die Berechtigungen schränken die Möglichkeiten berechtigter Benutzer auf die jeweilige Zone ein. Zum Anzeigen einer Liste der in einer Zone verfügbaren Berechtigungen verwenden Sie das Dienstprogramm ppriv.
In der folgenden Tabelle sind alle Solaris-Berechtigungen und der Status jede Berechtigung in Bezug auf Zonen aufgeführt. Optionale Berechtigungen, die nicht zu den Standardberechtigungen gehören, können über die Eigenschaft limitpriv angegeben werden. Erforderliche Berechtigungen müssen in das resultierende Berechtigungsset aufgenommen sein. Verbotene Berechtigungen können im resultierenden Berechtigungsset nicht enthalten sein.
Die Eigenschaft limitpriv wurde mit dem Solaris-Release 10 11/06 eingeführt.
Tabelle 27–1 Status von Berechtigungen in Zonen|
Berechtigung |
Status |
Anmerkung |
|---|---|---|
|
cpc_cpu |
Optional |
Zugriff auf bestimmte cpc(3CPC)-Zähler |
|
dtrace_proc |
Optional |
fasttrap- und pid-Provider; plockstat(1M) |
|
dtrace_user |
Optional |
profile- und syscall-Provider |
|
graphics_access |
Optional |
ioctl(2) Zugriff auf agpgart_io(7I) |
|
graphics_map |
Optional |
mmap(2) Zugriff auf agpgart_io(7I) |
|
net_rawaccess |
Optional in Shared IP-Zonen. Standard in Exclusive IP-Zonen. |
Raw PF_INET/PF_INET6-Paketzugriff |
|
proc_clock_highres |
Optional |
Verwendung von hochauflösenden Timern |
|
proc_priocntl |
Optional |
Scheduling-Steuerung; priocntl(1) |
|
sys_ipc_config |
Optional |
Anheben der Puffergröße der IPC-Nachrichtenwarteschlange |
|
sys_time |
Optional |
Manipulation der Systemzeit; xntp(1M) |
|
dtrace_kernel |
Verboten |
Wird derzeit nicht unterstützt |
|
proc_zone |
Verboten |
Wird derzeit nicht unterstützt |
|
sys_config |
Verboten |
Wird derzeit nicht unterstützt |
|
sys_devices |
Verboten |
Wird derzeit nicht unterstützt |
|
sys_linkdir |
Verboten |
Wird derzeit nicht unterstützt |
|
sys_net_config |
Verboten |
Wird derzeit nicht unterstützt |
|
sys_res_config |
Verboten |
Wird derzeit nicht unterstützt |
|
sys_suser_compat |
Verboten |
Wird derzeit nicht unterstützt |
|
proc_exec |
Erforderlich, Standard |
Dient zum Starten von init(1M ) |
|
proc_fork |
Erforderlich, Standard |
Dient zum Starten von init(1M ) |
|
sys_mount |
Erforderlich, Standard |
Erforderlich zum Einhängen von erforderlichen Dateisystemen |
|
sys_ip_config |
Erforderlich, Standard in Exclusive IP-Zonen Verboten in Shared IP-Zonen |
Erforderlich für die Boot-Zone und zum Initialisieren von IP-Netzverbindungen in einer Exclusive IP-Zone |
|
contract_event |
Standard |
Verwendet vom Contract-Dateisystem |
|
contract_observer |
Standard |
Contract-Überwachung ungeachtet der UID |
|
file_chown |
Standard |
Änderungen bei der Datei-Eigentümerschaft |
|
file_chown_self |
Standard |
Eigentümer/Gruppenänderungen für eigene Dateien |
|
file_dac_execute |
Standard |
Ausführungszugriff ungeachtet von Modus/ACL |
|
file_dac_read |
Standard |
Lesezugriff ungeachtet von Modus/ACL |
|
file_dac_search |
Standard |
Suchzugriff ungeachtet von Modus/ACL |
|
file_dac_write |
Standard |
Schreibzugriff ungeachtet von Modus/ACL |
|
file_link_any |
Standard |
Verbindungszugriff ungeachtet des Eigentümers |
|
file_owner |
Standard |
Anderer Zugriff ungeachtet des Eigentümers |
|
file_setid |
Standard |
Berechtigungsänderungen für die Dateien setid, setgid, setuid |
|
ipc_dac_read |
Standard |
IPC-Lesezugriff ungeachtet des Modus |
|
ipc_dac_owner |
Standard |
IPC-Schreibzugriff ungeachtet des Modus |
|
ipc_owner |
Standard |
IPC-sonstiger Zugriff ungeachtet des Modus |
|
net_icmpaccess |
Standard |
ICMP-Paketzugriff: ping(1M) |
|
net_privaddr |
Standard |
Bindung an berechtigte Ports |
|
proc_audit |
Standard |
Erzeugung von Audit-Datensätzen |
|
proc_chroot |
Standard |
Änderung des root-Verzeichnisses |
|
proc_info |
Standard |
Prozess-Untersuchung |
|
proc_lock_memory |
Standard |
Sperren des Speichers; shmctl(2) und mlock(3C) Wenn diese Berechtigung einer nicht-globalen Zone vom Systemadministrator zugeordnet wurde, muss auch die Resource Control zone.max-locked-memory gesetzt werden, um zu verhindern, dass die Zone den gesamten Speicher sperrt. |
|
proc_owner |
Standard |
Prozesskontrolle ungeachtet des Eigentümers |
|
proc_session |
Standard |
Prozesskontrolle ungeachtet der Sitzung |
|
proc_setid |
Standard |
Willkürliche Einstellung von Benutzer/Gruppen-IDs |
|
proc_taskid |
Standard |
Zuweisung von Aufgaben-IDs zum Aufrufer |
|
sys_acct |
Standard |
Accounting-Verwaltung |
|
sys_admin |
Standard |
Einfache Systemadministrationsaufgaben |
|
sys_audit |
Standard |
Auditing-Verwaltung |
|
sys_nfs |
Standard |
NFS-Client-Unterstützung |
|
sys_resource |
Standard |
Bearbeiten der Ressourcengrenzen |
In der folgenden Tabelle sind alle Trusted Solaris Extensions-Berechtigungen und der Status jede Berechtigung in Bezug auf die Zonen aufgeführt. Optionale Berechtigungen, die nicht zu den Standardberechtigungen gehören, können über die Eigenschaft limitpriv angegeben werden.
Hinweis –
Diese Berechtigungen werden nur dann ausgewertet, wenn das System mit Solaris Trusted Extensions konfiguriert ist.
Tabelle 27–2 Status von Solaris Trusted Extensions-Berechtigungen in Zonen
|
Solaris Trusted Extensions-Berechtigung |
Status |
Anmerkung |
|---|---|---|
|
file_downgrade_sl |
Optional |
Stellen Sie das Sensitivity Label der Datei oder des Verzeichnisses so ein, dass es das existierende Sensitivity Label nicht dominiert. |
|
file_upgrade_sl |
Optional |
Stellen Sie das Sensitivity Label der Datei oder des Verzeichnisses so ein, dass es das existierende Sensitivity Label dominiert. |
|
sys_trans_label |
Optional |
Label übersetzen, die nicht von einem Sensitivity Label dominiert sind |
|
win_colormap |
Optional |
Colormap-Einschränkungen außer Kraft setzen |
|
win_config |
Optional |
Konfigurieren oder Löschen von Ressourcen, die permanent vom XServer aufbewahrt werden |
|
win_dac_read |
Optional |
Lesen aus einer Window-Ressource, die nicht das Eigentum der Benutzer-ID des Client ist |
|
win_dac_write |
Optional |
Schreiben oder Erstellen einer Window-Ressource, die nicht das Eigentum der Benutzer-ID des Client ist |
|
win_devices |
Optional |
Ausführen von Vorgängen an Eingabegeräten. |
|
win_dga |
Optional |
Verwenden der X-Protokollerweiterungen für den Grafikzugriff; Frame Buffer-Berechtigungen erforderlich |
|
win_downgrade_sl |
Optional |
Ändern des Sensitivity Label der Window-Ressource auf ein neues Label, das vom vorhandenen Label dominiert wird |
|
win_fontpath |
Optional |
Hinzufügen eines zusätzlichen Schriftartpfads |
|
win_mac_read |
Optional |
Lesen aus einer Window-Ressource mit einem Label, das das Client-Label dominiert |
|
win_mac_write |
Optional |
Schreiben in eine Window-Ressource mit einem Label, das dem Client-Label nicht gleicht |
|
win_selection |
Optional |
Anfordern von Datenverschiebungen ohne Anzeigen einer Bestätigungsaufforderung |
|
win_upgrade_sl |
Optional |
Ändern des Sensitivity Label der Window-Ressource auf ein neues Label, das nicht vom vorhandenen Label dominiert wird |
|
net_bindmlp |
Standard |
Ermöglicht das Binden an einen Multilevel Port (MLP) |
|
net_mac_aware |
Standard |
Ermöglicht das Lesen über NFS |
Wie Sie Berechtigungen in der Konfiguration einer nicht-globalen Zone ändern, finden Sie unter Konfigurieren, Prüfen und Übernehmen einer Zone.
Informationen zum Anzeigen von Berechtigungssets finden Sie unter Verwenden des Dienstprogramms ppriv. Weitere Informationen zu Berechtigungen finden Sie in der Manpage ppriv(1) und im System Administration Guide: Security Services.
- © 2010, Oracle Corporation and/or its affiliates