Un sous-ensemble de privilèges limite les processus. La restriction au niveau des privilèges empêche une zone de réaliser des opérations qui pourraient avoir une incidence sur d'autres zones. L'ensemble de privilèges limite les possibilités d'action des utilisateurs disposant de privilèges au sein d'une zone. Pour afficher la liste des privilèges disponibles au sein d'une zone, exécutez l'utilitaire ppriv.
Le tableau suivant répertorie tous les privilèges Solaris et le statut qui leur est associé par rapport aux zones. Les privilèges facultatifs ne font pas partie de l'ensemble par défaut des privilèges. Vous pouvez toutefois les spécifier à l'aide de la propriété limitpriv. Les privilèges requis doivent être inclus dans l'ensemble des privilèges obtenu. Les privilèges interdits ne peuvent pas être inclus dans l'ensemble des privilèges obtenu.
La propriété limitpriv est disponible depuis la version Solaris 10 11/06.
Tableau 27–1 Statut des privilèges dans les zones
Privilège |
Statut |
Remarques |
---|---|---|
cpc_cpu |
FACULTATIF |
Accès à certains compteurs cpc(3CPC) |
dtrace_proc |
FACULTATIF |
Fournisseurs fasttrap et pid ; plockstat(1M) |
dtrace_user |
FACULTATIF |
Fournisseurs profile et syscall |
Graphics_access |
FACULTATIF |
Accès ioctl(2) à agpgart_io(7I) |
Graphics_map |
FACULTATIF |
Accès mmap(2) à agpgart_io(7I) |
net_rawaccess |
Facultatif dans les zones en mode IP partagé Par défaut dans les zones en mode IP exclusif |
Accès au paquet PF_INET/PF_INET6 brut |
proc_clock_highres |
FACULTATIF |
Utilisation d'horloges haute résolution |
proc_priocntl |
FACULTATIF |
Contrôle de programmation ; priocntl(1) |
sys_ipc_config |
FACULTATIF |
Augmentation de la taille du tampon de file d'attente des messages IP |
sys_time |
FACULTATIF |
Manipulation du temps système ; xntp(1M) |
dtrace_kernel |
Interdit |
Actuellement non pris en charge |
proc_zone |
Interdit |
Actuellement non pris en charge |
sys_config |
Interdit |
Actuellement non pris en charge |
sys_devices |
Interdit |
Actuellement non pris en charge |
sys_linkdir |
Interdit |
Actuellement non pris en charge |
sys_net_config |
Interdit |
Actuellement non pris en charge |
sys_res_config |
Interdit |
Actuellement non pris en charge |
sys_suser_compat |
Interdit |
Actuellement non pris en charge |
proc_exec |
Requis, par défaut |
Permet de démarrer init(1M ) |
proc_fork |
Requis, par défaut |
Permet de démarrer init(1M ) |
sys_mount |
Requis, par défaut |
Nécessaire dans le cadre du montage de systèmes de fichiers requis |
sys_ip_config |
Requis, par défaut dans les zones en mode IP exclusif Interdit dans les zones en mode IP partagé |
Requis pour initialiser la zone et le réseau IP dans les zones en mode IP exclusif |
contract_event |
Par défaut |
Utilisé par le système de fichiers de contrat |
contract_observer |
Par défaut |
Observation de contrat quel que soit l'ID utilisateur |
file_chown |
Par défaut |
Modification de la propriété des fichiers |
file_chown_self |
Par défaut |
Modification apportée au propriétaire/groupe de ses propres fichiers |
file_dac_execute |
Par défaut |
Accès d'exécution quel que soit le mode ou la liste ACL |
file_dac_read |
Par défaut |
Accès en lecture quel que soit le mode ou la liste ACL |
file_dac_search |
Par défaut |
Accès de recherche quel que soit le mode ou la liste ACL |
file_dac_write |
Par défaut |
Accès en écriture quel que soit le mode ou la liste ACL |
file_link_any |
Par défaut |
Accès de liaison quel que soit le propriétaire |
file_owner |
Par défaut |
Autre accès quel que soit le propriétaire |
file_setid |
Par défaut |
Modification des droits d'accès pour les fichiers setid, setgid et setuid |
ipc_dac_read |
Par défaut |
Accès en lecture IPC quel que soit le mode |
ipc_dac_owner |
Par défaut |
Accès en écriture IPC quel que soit le mode |
ipc_owner |
Par défaut |
Autre accès IPC quel que soit le mode |
net_icmpaccess |
Par défaut |
Accès au paquet ICMP : ping(1M) |
net_privaddr |
Par défaut |
Liaison aux ports avec privilèges |
proc_audit |
Par défaut |
Génération d'enregistrements d'audit |
proc_chroot |
Par défaut |
Modification du répertoire racine |
proc_info |
Par défaut |
Examen de processus |
proc_lock_memory |
Par défaut |
Verrouillage de mémoire ; shmctl(2) et mlock(3C) Si l'administrateur système a assigné ce privilège à une zone non globale, envisagez également de configurer le contrôle de ressources zone.max-locked-memory pour empêcher la zone de verrouiller la totalité de la mémoire. |
proc_owner |
Par défaut |
Contrôle de processus quel que soit le propriétaire |
proc_session |
Par défaut |
Contrôle de processus quelle que soit la session |
proc_setid |
Par défaut |
Définition des ID d'utilisateur ou de groupe à convenance |
proc_taskid |
Par défaut |
Assignation des ID de tâche à l'appelant |
sys_acct |
Par défaut |
Gestion de la comptabilité |
sys_admin |
Par défaut |
Tâches simples d'administration système |
sys_audit |
Par défaut |
Gestion de l'audit |
sys_nfs |
Par défaut |
Support client NFS |
sys_resource |
Par défaut |
Manipulation de limite des ressources |
Le tableau suivant répertorie tous les privilèges Solaris Trusted Extensions ainsi que leur statut par rapport aux zones. Les privilèges facultatifs ne font pas partie de l'ensemble par défaut des privilèges. Vous pouvez toutefois les spécifier à l'aide de la propriété limitpriv.
Ces privilèges sont interprétés uniquement si le système est configuré avec Solaris Trusted Extensions.
Privilège Solaris Trusted Extensions |
Statut |
Remarques |
---|---|---|
File_downgrade_sl |
FACULTATIF |
Définissez l'étiquette de sensibilité d'un fichier ou d'un répertoire de manière à ce qu'elle ne domine pas l'étiquette de sensibilité existante. |
File_upgrade_sl |
FACULTATIF |
Définissez l'étiquette de sensibilité d'un fichier ou d'un répertoire de manière à ce qu'elle domine l'étiquette de sensibilité existante. |
sys_trans_label |
FACULTATIF |
Traduction des étiquettes non dominées par l'étiquette de sensibilité |
win_colormap |
FACULTATIF |
Redéfinition des restrictions de la palette des couleurs |
win_config |
FACULTATIF |
Configuration ou destruction des ressources retenues en permanence par le serveur X |
win_dac_read |
FACULTATIF |
Lecture à partir de la ressource fenêtre qui n'appartient pas à l'ID utilisateur du client |
win_dac_write |
FACULTATIF |
Création de la ressource fenêtre qui n'appartient pas à l'ID utilisateur du client ou écriture dans celle-ci |
win_devices |
FACULTATIF |
Réalisation d'opérations sur les périphériques d'entrée |
win_dga |
FACULTATIF |
Utilisation des extensions du protocole X d'accès direct aux graphiques ; privilèges de mémoire graphique requis |
win_downgrade_sl |
FACULTATIF |
Remplacement de l'étiquette de sensibilité de la ressource fenêtre par une nouvelle étiquette dominée par l'étiquette existante |
win_fontpath |
FACULTATIF |
Ajout d'un chemin de police supplémentaire |
win_mac_read |
FACULTATIF |
Lecture à partir de la ressource fenêtre avec une étiquette dominant l'étiquette du client |
win_mac_write |
FACULTATIF |
Écriture dans la ressource fenêtre avec une étiquette différente de l'étiquette du client |
win_selection |
FACULTATIF |
Requête de déplacement de données sans intervention du confirmeur |
win_upgrade_sl |
FACULTATIF |
Remplacement de l'étiquette de sensibilité de la ressource fenêtre par une nouvelle étiquette non dominée par l'étiquette existante |
net_bindmlp |
Par défaut |
Autorisation de la liaison à un port multiniveau (MLP, multilevel port) |
net_mac_aware |
Par défaut |
Autorisation de la lecture via NFS |
Pour modifier les privilèges dans une configuration de zone non globale, reportez-vous à la section Configuration, vérification et validation d'une zone.
Pour examiner les ensembles de privilèges, reportez-vous à la section Utilisation de l'utilitaire ppriv. Pour plus d'informations sur les privilèges, voir la page de manuel ppriv(1) et le System Administration Guide: Security Services.