跳过导航链接 | |
退出打印视图 | |
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
Oracle Solaris 内核可防止特权升级。特权升级是指某特权允许进程执行超出其应有功能的功能。为防止进程获取超出其应有特权的特权,对易受攻击的系统进行修改需要具有完全特权集。例如,只有具有完全特权集的进程才能更改 root (UID=0) 拥有的文件或进程。root 帐户不需要具有特权就能更改 root 拥有的文件。但是,非超级用户必须具有全部特权才能更改 root 拥有的文件。
类似地,提供设备访问的操作需要具有有效特权集中的所有特权。
file_chown_self 和 proc_owner 特权可进行特权升级。file_chown_self 特权允许进程放弃其文件。proc_owner 特权允许进程检查不归其拥有的进程。
可通过 rstchown 系统变量限制 file_chown_self 特权。如果将 rstchown 变量设置为零,则将从系统和所有用户的初始可继承特权集中删除 file_chown_self 特权。有关 rstchown 系统变量的更多信息,请参见 chown(1) 手册页。
file_chown_self 特权非常安全地指定给特定命令,放置在配置文件中,并指定给角色供配置文件 shell 使用。
proc_owner 特权不足以将进程 UID 切换为 0。要将进程从任何 UID 切换为 UID=0 需要具有全部特权。由于 proc_owner 特权授予对系统上所有文件的无限制读取权限,因此可以非常安全地将该特权指定给特定命令,放置在配置文件中,并指定给角色供配置文件 shell 使用。
注意 - 可以修改用户帐户,将 file_chown_self 特权或 proc_owner 特权包括在该用户的初始可继承特权集中。要将这些强大的特权放置在任何用户、角色或系统的可继承特权集中,您应有充分的安全理由。 |
有关如何防止设备特权升级的详细信息,请参见特权和设备。