Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Administrative Befehle zum Verarbeiten von Berechtigungen
Dateien mit Berechtigungsinformationen
Legacy-Anwendungen und das Berechtigungsmodell
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Der Oracle Solaris-Kernel verhindert Berechtigungseskalation. Berechtigungseskalation findet statt, wenn eine Berechtigung einem Prozess mehr Vorgänge ermöglicht, als der Prozess eigentlich ausführen können sollte. Um zu verhindern, dass ein Prozess mehr Berechtigungen erhält als vorgesehen, ist für kritische Systemänderungen der vollständige Berechtigungssatz erforderlich. Eine Datei oder ein Prozess, die/der root gehört (UID=0 ), kann z. B. nur von einem Prozess mit dem vollständigen Berechtigungssatz geändert werden. Das root-Konto erfordert keine Berechtigungen zum Ändern einer Datei, die root gehört. Ein Nicht-Root-Benutzer muss jedoch über alle Berechtigungen verfügen, um eine Datei zu ändern, die root gehört.
Auf ähnliche Weise erfordern Vorgänge, die Zugriff auf Geräte ermöglichen, alle Berechtigungen im effektiven Satz.
Die Berechtigungen file_chown_self und proc_owner unterliegen der Berechtigungseskalation. Die Berechtigung file_chown_self ermöglicht einem Prozess, seine Dateien abzugeben. Die Berechtigung proc_owner ermöglicht einem Prozess, Prozesse, die ihm nicht gehören, zu untersuchen.
Die Berechtigung file_chown_self ist durch die Systemvariable rstchown begrenzt. Wenn die Variable rstchown auf Null gesetzt wird, wird die Berechtigung file_chown_self aus dem ursprünglichen vererbbaren Satz des Systems und aller Benutzer entfernt. Weitere Informationen zur Systemvariable rstchown erhalten Sie auf der Manpage chown(1).
Die Berechtigung file_chown_self wird am sichersten einem bestimmten Befehl zugewiesen, in ein Profil platziert und einer Rolle zur Verwendung in einer Profil-Shell zugewiesen.
Die Berechtigung proc_owner reicht nicht aus, um eine Prozess-UID auf 0 zu setzen. Um eine beliebige Prozess-UID auf UID=0 zu setzen, sind alle Berechtigungen erforderlich. Da die Berechtigung proc_owner unbeschränkten Lesezugriff auf alle Dateien auf dem System gewährt, wird die Berechtigung am sichersten einem bestimmten Befehl zugewiesen, in ein Profil platziert und einer Rolle zur Verwendung in einer Profil-Shell zugewiesen.
![]() | Achtung - Ein Benutzerkonto kann so geändert werden, dass es die Berechtigung file_chown_self oder die Berechtigung proc_owner im ursprünglichen vererbbaren Satz des Benutzers einschließt. Sie sollten übergeordnete Sicherheitsgründe dafür haben, so leistungsstarke Berechtigungen im vererbbaren Berechtigungssatz eines Benutzers, einer Rolle oder eines Systems zu platzieren. |
Weitere Informationen dazu, wie Berechtigungseskalation für Geräte verhindert wird, erhalten Sie unter Berechtigungen und Geräte.