Полномочия в неглобальных зонах
Процессы ограничены подмножеством полномочий. Ограничение полномочий не позволяет зоне выполнять операции, которые могут воздействовать на другие зоны. Набор полномочий ограничивает возможности привилегированных пользователей внутри зоны. Для вывода списка полномочий, доступных внутри зоны, используется средство ppriv.
В следующей таблице приведен список всех полномочий Solaris и статус всех полномочий по отношению к зонам. Дополнительные полномочия не являются частью набора полномочий по умолчанию, однако их можно задать с помощью свойства limitpriv . Требуемые полномочия должны входить в итоговый набор полномочий. Запрещенные полномочия не могут входить в итоговый набор полномочий.
Свойство limitpriv доступно, начиная с Solaris 10 11/06.
Таблица 26–1 Статус полномочий в зонах|
Полномочия |
Статус |
Примечания |
|---|---|---|
|
cpc_cpu |
Необязательно |
Доступ к определенным счетчикам cpc(3CPC) |
|
dtrace_proc |
Необязательно |
Поставщики fasttrap и pid; plockstat(1M) |
|
dtrace_user |
Необязательно |
Поставщики profile и syscall |
|
graphics_access |
Необязательно |
Доступ ioctl(2) к agpgart_io(7I) |
|
graphics_map |
Необязательно |
Доступ mmap(2) к agpgart_io(7I) |
|
net_rawaccess |
В зонах с общим IP – необязательно. В зонах с эксклюзивным IP – по умолчанию. |
Доступ к необработанным пакетам PF_INET/PF_INET6 |
|
proc_clock_highres |
Необязательно |
Использование таймеров с высоким разрешением |
|
proc_priocntl |
Необязательно |
Управление планированием; priocntl(1) |
|
sys_ipc_config |
Необязательно |
Увеличение размера буфера очереди сообщений IPC |
|
sys_time |
Необязательно |
Манипулирование системным временем; xntp(1M) |
|
dtrace_kernel |
Запрещено |
В настоящее время не поддерживаются. |
|
proc_zone |
Запрещено |
В настоящее время не поддерживаются. |
|
sys_config |
Запрещено |
В настоящее время не поддерживаются. |
|
sys_devices |
Запрещено |
В настоящее время не поддерживаются. |
|
sys_linkdir |
Запрещено |
В настоящее время не поддерживаются. |
|
sys_net_config |
Запрещено |
В настоящее время не поддерживаются. |
|
sys_res_config |
Запрещено |
В настоящее время не поддерживаются. |
|
sys_suser_compat |
Запрещено |
В настоящее время не поддерживаются. |
|
proc_exec |
Обязательно, по умолчанию |
Используется для запуска init(1M ) |
|
proc_fork |
Обязательно, по умолчанию |
Используется для запуска init(1M ) |
|
sys_mount |
Обязательно, по умолчанию |
Для монтирования требуемых файловых систем |
|
sys_ip_config |
В зонах с эксклюзивным IP – обязательно, по умолчанию. В зонах с общим IP – запрещено. |
Для загрузки зоны и инициализации сетевых подключений IP в зоне с эксклюзивным IP |
|
contract_event |
По умолчанию |
Используются контрактной файловой системой |
|
contract_observer |
По умолчанию |
Соблюдение контракта независимо от UID |
|
file_chown |
По умолчанию |
Изменение владельца файлов |
|
file_chown_self |
По умолчанию |
Изменение владельца/группы для собственных файлов |
|
file_dac_execute |
По умолчанию |
Доступ на выполнение независимо от режима/ACL |
|
file_dac_read |
По умолчанию |
Доступ для чтения независимо от режима/ACL |
|
file_dac_search |
По умолчанию |
Доступ для поиска независимо от режима/ACL |
|
file_dac_write |
По умолчанию |
Доступ для записи независимо от режима/ACL |
|
file_link_any |
По умолчанию |
Доступ к ссылкам независимо от владельца |
|
file_owner |
По умолчанию |
Прочий доступ независимо от владельца |
|
file_setid |
По умолчанию |
Изменение полномочий для файлов setid, setgid и setuid |
|
ipc_dac_read |
По умолчанию |
Доступ для чтения к IPC независимо от режима |
|
ipc_dac_owner |
По умолчанию |
Доступ для записи к IPC независимо от режима |
|
ipc_owner |
По умолчанию |
Прочий доступ к IPC независимо от режима |
|
net_icmpaccess |
По умолчанию |
Доступ ICMP-пакетов: ping(1M) |
|
net_privaddr |
По умолчанию |
Связывание с привилегированными портами |
|
proc_audit |
По умолчанию |
Генерация записей аудита |
|
proc_chroot |
По умолчанию |
Изменение корневого (root) каталога |
|
proc_info |
По умолчанию |
Исследование процессов |
|
proc_lock_memory |
По умолчанию |
Блокирование памяти; shmctl(2)и mlock(3C) Если эти полномочия назначаются системным администратором неглобальной зоне, следует также рассмотреть целесообразность задания элемента управления ресурсами zone.max-locked-memory в целях недопущения блокирования зоной всей памяти. |
|
proc_owner |
По умолчанию |
Управление процессами независимо от владельца |
|
proc_session |
По умолчанию |
Управление процессами независимо от сеанса |
|
proc_setid |
По умолчанию |
Произвольная установка идентификаторов пользователя/группы |
|
proc_taskid |
По умолчанию |
Назначение идентификаторов задачи вызывающей стороне |
|
sys_acct |
По умолчанию |
Управление учетом |
|
sys_admin |
По умолчанию |
Простые задачи системного администрирования |
|
sys_audit |
По умолчанию |
Управление аудитом |
|
sys_nfs |
По умолчанию |
Поддержка клиента NFS |
|
sys_resource |
По умолчанию |
Манипулирование ограничением ресурсов |
В следующей таблице приведен список всех полномочий Solaris Trusted Extensions и статус всех полномочий по отношению к зонам. Дополнительные полномочия не являются частью набора полномочий по умолчанию, однако их можно задать с помощью свойства limitpriv .
Примечание –
Полномочия Solaris Trusted Extensions интерпретируются только в том случае, если для системы настроены Trusted Extensions.
Таблица 26–2 Статус полномочий Solaris Trusted Extensions в зонах
|
Полномочия Solaris Trusted Extensions |
Статус |
Примечания |
|---|---|---|
|
file_downgrade_sl |
Необязательно |
Установка метки конфиденциальности файла или каталога на новую метку, не подчиненную существующей метке конфиденциальности |
|
file_upgrade_sl |
Необязательно |
Установка метки конфиденциальности файла или каталога на новую метку, подчиненную существующей метке конфиденциальности |
|
sys_trans_label |
Необязательно |
Метки перевода не подчиняются меткам конфиденциальности |
|
win_colormap |
Необязательно |
Переопределение ограничений карты цветов |
|
win_config |
Необязательно |
Настройка или уничтожение ресурсов, постоянно удерживаемых X-сервером |
|
win_dac_read |
Необязательно |
Чтение из оконного ресурса, не принадлежащего идентификатору пользователя клиента |
|
win_dac_write |
Необязательно |
Запись или создание оконного ресурса, не принадлежащего идентификатору пользователя клиента |
|
win_devices |
Необязательно |
Выполнение операций с устройствами ввода |
|
win_dga |
Необязательно |
Использование расширений протокола X для прямого графического доступа; требуются полномочия кадрового буфера |
|
win_downgrade_sl |
Необязательно |
Изменение метки чувствительности оконного ресурса на новую метку, подчиненную существующей метке |
|
win_fontpath |
Необязательно |
Добавление дополнительного пути для шрифтов |
|
win_mac_read |
Необязательно |
Чтение из оконного ресурса с меткой, доминирующей над меткой клиента |
|
win_mac_write |
Необязательно |
Запись в оконный ресурс с меткой, не равной метке клиента |
|
win_selection |
Необязательно |
Запрос перемещения данных без подтверждения |
|
win_upgrade_sl |
Необязательно |
Изменение метки чувствительности оконного ресурса на новую метку, не подчиненную существующей метке |
|
net_bindmlp |
По умолчанию |
Разрешение связывания с многоуровневым портом (MLP) |
|
net_mac_aware |
По умолчанию |
Разрешение чтения по NFS |
Сведения относительно изменения полномочий в настройке неглобальной зоны приведены в Настройка, проверка и сохранение параметров зоны
Информацию по проверке наборов полномочий приведены в Использование утилиты ppriv. Для получения дополнительной информации о полномочиях см. справочную страницу ppriv(1) и руководство Руководство по системному администрированию: службы безопасности.
- © 2010, Oracle Corporation and/or its affiliates