Los procesos se limitan a un subconjunto de privilegios. La limitación de privilegios impide que una zona lleve a cabo operaciones que podrían afectar a otras zonas. El conjunto de privilegios limita las funciones de los usuarios con privilegios en la zona. La utilidad ppriv permite ver la lista de los privilegios disponibles en una zona.
La tabla siguiente enumera todos los privilegios de Solaris y el estado de cada privilegio con respecto a las zonas. Los privilegios opcionales no forman parte del conjunto de privilegios predeterminado, pero se pueden especificar con la propiedad limitpriv. Los privilegios necesarios deben incluirse en el conjunto de privilegios resultante. Los privilegios prohibidos no se pueden incluir en el conjunto de privilegios resultante.
La propiedad limitpriv está disponible a partir de Solaris 10 11/06.
Tabla 27–1 Estado de los privilegios en las zonas
Privilegio |
Estado |
Notas |
---|---|---|
cpc_cpu |
OPCIONAL |
Acceso a determinados contadores cpc(3CPC) |
dtrace_proc |
OPCIONAL |
Proveedores fasttrap y pid; plockstat(1M) |
dtrace_user |
OPCIONAL |
Proveedores profile y syscall |
graphics_access |
OPCIONAL |
Acceso ioctl(2) a agpgart_io(7I) |
graphics_map |
OPCIONAL |
Acceso mmap(2) a agpgart_io(7I) |
net_rawaccess |
Opcional en zonas de IP compartida. Predeterminado en zonas de IP exclusiva. |
Acceso de paquetes básico PF_INET/PF_INET6 |
proc_clock_highres |
OPCIONAL |
Uso de temporizadores de alta resolución |
proc_priocntl |
OPCIONAL |
Control de planificación; priocntl(1) |
sys_ipc_config |
OPCIONAL |
Tamaño de búfer de cola de mensajes IPC creciente |
sys_time |
OPCIONAL |
Manipulación del tiempo del sistema; xntp(1M) |
dtrace_kernel |
Prohibido |
No se admite actualmente |
proc_zone |
Prohibido |
No se admite actualmente |
sys_config |
Prohibido |
No se admite actualmente |
sys_devices |
Prohibido |
No se admite actualmente |
sys_linkdir |
Prohibido |
No se admite actualmente |
sys_net_config |
Prohibido |
No se admite actualmente |
sys_res_config |
Prohibido |
No se admite actualmente |
sys_suser_compat |
Prohibido |
No se admite actualmente |
proc_exec |
Requerido, predeterminado |
Se utiliza para iniciar init(1M ) |
proc_fork |
Requerido, predeterminado |
Se utiliza para iniciar init(1M ) |
sys_mount |
Requerido, predeterminado |
Se necesita para montar los sistemas de archivos necesarios |
sys_ip_config |
Requerido, predeterminado en zonas de IP exclusiva Prohibido en zonas de IP compartida |
Se necesita para iniciar la zona e iniciar las redes IP en una zona de IP exclusiva |
contract_event |
Predeterminado |
Lo utiliza el sistema de archivos de contrato |
contract_observer |
Predeterminado |
Cumplimiento de contratos al margen de UID |
file_chown |
Predeterminado |
Cambios de propiedad de archivos |
file_chown_self |
Predeterminado |
Cambios de propietario/grupo para los propios archivos |
file_dac_execute |
Predeterminado |
Acceso de ejecución al margen del modo/LCA |
file_dac_read |
Predeterminado |
Acceso de lectura al margen del modo/LCA |
file_dac_search |
Predeterminado |
Acceso de búsqueda al margen del modo/LCA |
file_dac_write |
Predeterminado |
Acceso de escritura al margen del modo/LCA |
file_link_any |
Predeterminado |
Acceso de vínculos al margen del propietario |
file_owner |
Predeterminado |
Otro acceso al margen del propietario |
file_setid |
Predeterminado |
Cambios de permisos para los archivos setid, setgid, setuid |
ipc_dac_read |
Predeterminado |
Acceso de lectura IPC al margen del modo |
ipc_dac_owner |
Predeterminado |
Acceso de escritura IPC al margen del modo |
ipc_owner |
Predeterminado |
Otro acceso IPC al margen del modo |
net_icmpaccess |
Predeterminado |
Acceso al paquete ICMP: ping(1M) |
net_privaddr |
Predeterminado |
Vinculación a puertos con privilegios |
proc_audit |
Predeterminado |
Generación de registros de auditoría |
proc_chroot |
Predeterminado |
Cambio del directorio root |
proc_info |
Predeterminado |
Examen de procesos |
proc_lock_memory |
Predeterminado |
Bloqueo de memoria; shmctl(2) y mlock(3C) Si el administrador de zona asigna este privilegio a una zona no global, debe considerar también la configuración del control de recurso zone.max-locked-memory para evitar que la zona bloquee toda la memoria. |
proc_owner |
Predeterminado |
Control de procesos al margen del propietario |
proc_session |
Predeterminado |
Control de procesos al margen de la sesión |
proc_setid |
Predeterminado |
Configuración de ID de usuario/grupo según sea preciso |
proc_taskid |
Predeterminado |
Asignación de ID de tareas al programa de llamada |
sys_acct |
Predeterminado |
Administración de cuentas |
sys_admin |
Predeterminado |
Tareas de administración del sistema simples |
sys_audit |
Predeterminado |
Administración de auditoría |
sys_nfs |
Predeterminado |
Compatibilidad con cliente NFS |
sys_resource |
Predeterminado |
Manipulación de límites de recursos |
En la tabla siguiente se enumeran todos los privilegios de Solaris Trusted Extensions y el estado de cada privilegio con respecto a las zonas. Los privilegios opcionales no forman parte del conjunto de privilegios predeterminado, pero se pueden especificar con la propiedad limitpriv.
Estos privilegios sólo se interpretan si el sistema está configurado con Solaris Trusted Extensions.
Privilegio de Solaris Trusted Extensions |
Estado |
Notas |
---|---|---|
file_downgrade_sl |
OPCIONAL |
Ajusta la etiqueta de sensibilidad del archivo o directorio a una etiqueta de sensibilidad que no domina la etiqueta de sensibilidad existente |
file_upgrade_sl |
OPCIONAL |
Ajusta la etiqueta de sensibilidad del archivo o directorio a una etiqueta de sensibilidad que domina la etiqueta de sensibilidad existente |
sys_trans_label |
OPCIONAL |
Traslada etiquetas no controladas por la etiqueta de seguridad |
win_colormap |
OPCIONAL |
Modifica restricciones de asignaciones de color |
win_config |
OPCIONAL |
Configura o destruye recursos que conserva el servidor X de forma permanente |
win_dac_read |
OPCIONAL |
Lee el recurso de ventana que no es propiedad del ID de usuario del cliente |
win_dac_write |
OPCIONAL |
Lee o crea el recurso de ventana que no es propiedad del ID de usuario del cliente |
win_devices |
OPCIONAL |
Lleva a cabo operaciones en los dispositivos de entrada. |
win_dga |
OPCIONAL |
Utiliza las extensiones del protocolo X de acceso a gráficos directo; se necesitan privilegios de búfer de trama |
win_downgrade_sl |
OPCIONAL |
Cambia la etiqueta de seguridad del recurso de ventana a una nueva etiqueta controlada por la etiqueta existente |
win_fontpath |
OPCIONAL |
Añade una ruta de fuente adicional |
win_mac_read |
OPCIONAL |
Lee el recurso de ventana con una etiqueta que controla la etiqueta del cliente |
win_mac_write |
OPCIONAL |
Escribe en el recurso de ventana con una etiqueta diferente a la del cliente |
win_selection |
OPCIONAL |
Solicita movimientos de datos sin intervención del confirmador |
win_upgrade_sl |
OPCIONAL |
Cambia la etiqueta de seguridad del recurso de ventana a una nueva etiqueta no controlada por la etiqueta existente |
net_bindmlp |
Predeterminado |
Permite la vinculación a un puerto multinivel (MLP) |
net_mac_aware |
Predeterminado |
Permite la lectura mediante NFS |
Para modificar los privilegios de una configuración de zona no global, consulte Configuración, verificación y confirmación de una zona.
Para examinar los conjuntos de privilegios, consulte Uso de la utilidad ppriv. Para obtener más información acerca de los privilegios, consulte la página del comando man ppriv(1) y System Administration Guide: Security Services.