非大域ゾーン内の特権

プロセスは、特権の一部に制限されています。特権を制限することで、ほかのゾーンに影響を及ぼす可能性がある操作がゾーンで実行されないようにします。特権セットにより、特権が付与されたユーザーがゾーン内で実行可能な機能が制限されます。指定されたゾーン内で利用可能な特権のリストを表示するには、ppriv ユーティリティーを使用します。

次の表に、Oracle Solaris の特権すべて、およびゾーン内での各特権のステータスを示します。省略可能な特権は、デフォルト特権セットの一部ではありませんが、limitpriv プロパティーを使って指定できます。必須の特権が、生成される特権セットに含まれている必要があります。禁止された特権を、生成される特権セットに含めることはできません。

表 25-1 ゾーン内の特権のステータス

特権	ステータス	注意事項
`cpc_cpu`	任意	特定の `cpc`(3CPC) カウンタへのアクセス
`dtrace_proc`	任意	`fasttrap` および `pid` プロバイダ。`plockstat`(1M)
`dtrace_user`	任意	`profile` および `syscall` プロバイダ
`graphics_access`	任意	`ioctl`(2) による `agpgart_io`(7I) へのアクセス
`graphics_map`	任意	`mmap`(2) による `agpgart_io`(7I) へのアクセス
`net_rawaccess`	共有 IP ゾーンでは省略可能。排他的 IP ゾーンではデフォルト。	raw `PF_INET/PF_INET6` パケットアクセス
`proc_clock_highres`	任意	高解像度タイマーの使用
`proc_priocntl`	任意	スケジューリングの制御。`priocntl`(1)
`sys_ipc_config`	任意	IPC メッセージキューのバッファサイズの引き上げ
`sys_time`	任意	システム時間の操作。`xntp`(1M)
`dtrace_kernel`	禁止	現在、未サポート
`proc_zone`	禁止	現在、未サポート
`sys_config`	禁止	現在、未サポート
`sys_devices`	禁止	現在、未サポート
`sys_dl_config`	禁止	現在、未サポート
`sys_linkdir`	禁止	現在、未サポート
`sys_net_config`	禁止	現在、未サポート
`sys_res_config`	禁止	現在、未サポート
`sys_smb`	禁止	現在、未サポート
`sys_suser_compat`	禁止	現在、未サポート
`proc_exec`	必須、デフォルト	`init`(1M) の起動に使用
`proc_fork`	必須、デフォルト	`init`(1M) の起動に使用
`sys_mount`	必須、デフォルト	必須ファイルシステムのマウントに必要
`sys_flow_config`	必須、排他的 IP ゾーンではデフォルト共有 IP ゾーンでは禁止	フローの構成に必要
`sys_ip_config`	必須、排他的 IP ゾーンではデフォルト共有 IP ゾーンでは禁止	ゾーンのブートおよび排他的 IP ゾーンの IP ネットワークの初期化に必要
`sys_iptun_config`	必須、排他的 IP ゾーンではデフォルト共有 IP ゾーンでは禁止	IP トンネルリンクの構成
`contract_event`	デフォルト	契約ファイルシステムで使用
`contract_identity`	デフォルト	プロセス規約テンプレートのサービス FMRI 値の設定
`contract_observer`	デフォルト	UID とは無関係な契約観察
`file_chown`	デフォルト	ファイル所有権の変更
`file_chown_self`	デフォルト	所有するファイルの所有者/グループの変更
`file_dac_execute`	デフォルト	モード/ACL に依存しない実行アクセス
`file_dac_read`	デフォルト	モード/ACL に依存しない読み取りアクセス
`file_dac_search`	デフォルト	モード/ACL に依存しない検索アクセス
`file_dac_write`	デフォルト	モード/ACL に依存しない書き込みアクセス
`file_link_any`	デフォルト	所有者に依存しないリンクアクセス
`file_owner`	デフォルト	所有者に依存しないその他のアクセス
`file_setid`	デフォルト	`setid`、`setgid`、 `setuid` ファイルのアクセス権の変更
`ipc_dac_read`	デフォルト	モードに依存しない IPC 読み取りアクセス
`ipc_dac_owner`	デフォルト	モードに依存しない IPC 書き込みアクセス
`ipc_owner`	デフォルト	モードに依存しないその他の IPC アクセス
`net_icmpaccess`	デフォルト	ICMP パケットアクセス: `ping`(1M)
`net_privaddr`	デフォルト	特権ポートへのバインド
`proc_audit`	デフォルト	監査レコードの生成
`proc_chroot`	デフォルト	`root` ディレクトリの変更
`proc_info`	デフォルト	プロセスの検査
`proc_lock_memory`	デフォルト	メモリーのロック。`shmctl`(2) および `mlock`(3C) この特権がシステム管理者によって非大域ゾーンに割り当てられている場合、ゾーンがすべてのメモリーをロックするのを防ぐために `zone.max-locked-memory` リソース制御の設定も検討してください。
`proc_owner`	デフォルト	所有者に依存しないプロセス制御
`proc_session`	デフォルト	セッションに依存しないプロセス制御
`proc_setid`	デフォルト	ユーザー/グループ ID の任意設定
`proc_taskid`	デフォルト	呼び出し元へのタスク ID の割り当て
`sys_acct`	デフォルト	アカウンティングの管理
`sys_admin`	デフォルト	単純なシステム管理タスク
`sys_audit`	デフォルト	監査の管理
`sys_nfs`	デフォルト	NFS クライアントのサポート
`sys_ppp_config`	排他的 IP ゾーンではデフォルト共有 IP ゾーンでは禁止	PPP (sppp) インタフェースの作成および削除、PPP トンネル (sppptun) の構成
`sys_resource`	デフォルト	リソース制限の操作
`sys_share`	デフォルト	ファイルシステムの共有に必要な `sharefs` システムコールを許可します。ゾーン内での NFS 共有を防止するために、ゾーン内で特権を禁止にすることができます。

次の表に、Oracle Solaris Trusted Extensions の特権すべて、および各特権のゾーン内のステータスを示します。省略可能な特権は、デフォルト特権セットの一部ではありませんが、limitpriv プロパティーを使って指定できます。

注 - Oracle Trusted Solaris 特権が解釈されるのは、システムが Oracle Trusted Extensions を使って構成されている場合だけです。

表 25-2 ゾーン内での Oracle Solaris Trusted Extensions の特権のステータス

Oracle Solaris Trusted Extensions の特権	ステータス	注意事項
`file_downgrade_sl`	任意	ファイルまたはディレクトリの機密ラベルを、既存の機密ラベルを優先する機密ラベルに設定します。
`file_upgrade_sl`	任意	ファイルまたはディレクトリの機密ラベルを、既存の機密ラベルよりも優先される機密ラベルに設定します。
`sys_trans_label`	任意	機密ラベルの制御下にないラベルの変換
`win_colormap`	任意	カラーマップ制限のオーバーライド
`win_config`	任意	X サーバーにより常時保持されるリソースの構成または破棄
`win_dac_read`	任意	クライアントのユーザー ID が所有していないウィンドウリソースからの読み取り
`win_dac_write`	任意	クライアントのユーザー ID が所有していないウィンドウリソースへの書き込みまたは作成
`win_devices`	任意	入力デバイスでの操作の実行
`win_dga`	任意	ダイレクトグラフィックスアクセス X プロトコル拡張機能の使用。フレームバッファー特権が必要
`win_downgrade_sl`	任意	ウィンドウリソースの機密ラベルを、既存ラベルの制御下にある新規ラベルに変更
`win_fontpath`	任意	フォントパスの追加
`win_mac_read`	任意	クライアントのラベルを制御するラベルを使用した、ウィンドウリソースからの読み取り
`win_mac_write`	任意	クライアントのラベルと同等ではないラベルを使用した、ウィンドウリソースへの書き込み
`win_selection`	任意	確認者の介入なしでの要求データの移動
`win_upgrade_sl`	任意	ウィンドウリソースの機密ラベルを、既存ラベルの制御下にない新規ラベルに変更
`net_bindmlp`	デフォルト	マルチレベルポート (MLP) へのバインドの許可
`net_mac_aware`	デフォルト	NFS を使用した読み取りの許可

非大域ゾーン構成内の特権を変更する方法については、「ゾーンを構成、検証、および確定する」を参照してください。

特権セットを検査する方法については、「ppriv ユーティリティーの使用」を参照してください。特権の詳細は、ppriv(1) のマニュアルページおよび『Solaris のシステム管理 (セキュリティサービス)』を参照してください。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Oracle Solaris のシステム管理 (Oracle Solaris ゾーン、Oracle Solaris 10 ゾーン、およびリソース管理) Oracle Solaris 11 Information Library (日本語)