非大域ゾーン内の特権
プロセスは、特権の一部に制限されています。特権を制限することで、ほかのゾーンに影響を及ぼす可能性がある操作がゾーンで実行されないようにします。特権セットにより、特権が付与されたユーザーがゾーン内で実行可能な機能が制限されます。指定されたゾーン内で利用可能な特権のリストを表示するには、ppriv ユーティリティーを使用します。
次の表に、Oracle Solaris の特権すべて、およびゾーン内での各特権のステータスを示します。省略可能な特権は、デフォルト特権セットの一部ではありませんが、limitpriv プロパティーを使って指定できます。必須の特権が、生成される特権セットに含まれている必要があります。禁止された特権を、生成される特権セットに含めることはできません。
表 25-1 ゾーン内の特権のステータス
|
|
|
cpc_cpu |
任意 |
特定の cpc(3CPC) カウンタへのアクセス |
dtrace_proc |
任意 |
fasttrap および pid プロバイダ。plockstat(1M) |
dtrace_user |
任意 |
profile および syscall プロバイダ |
graphics_access |
任意 |
ioctl(2)
による agpgart_io(7I) へのアクセス |
graphics_map |
任意 |
mmap(2) による agpgart_io(7I) へのアクセス |
net_rawaccess |
共有 IP ゾーンではオプション。 排他的 IP ゾーンではデフォルト。 |
raw PF_INET/PF_INET6 パケットアクセス |
proc_clock_highres |
任意 |
高解像度タイマーの使用 |
proc_priocntl |
任意 |
スケジューリングの制御。priocntl(1) |
sys_ipc_config |
任意 |
IPC
メッセージキューのバッファーサイズの引き上げ |
sys_time |
任意 |
システム時間の操作。xntp(1M) |
dtrace_kernel |
禁止 |
現在、未サポート |
proc_zone |
禁止 |
現在、未サポート |
sys_config |
禁止 |
現在、未サポート |
sys_devices |
禁止 |
現在、未サポート |
sys_dl_config |
禁止 |
現在、未サポート |
sys_linkdir |
禁止 |
現在、未サポート |
sys_net_config |
禁止 |
現在、未サポート |
sys_res_config |
禁止 |
現在、未サポート |
sys_smb |
禁止 |
現在、未サポート |
sys_suser_compat |
禁止 |
現在、未サポート |
proc_exec |
必須、デフォルト |
init(1M) の起動に使用 |
proc_fork |
必須、デフォルト |
init(1M) の起動に使用 |
sys_mount |
必須、デフォルト |
必須ファイルシステムのマウントに必要 |
sys_flow_config |
必須、排他的 IP ゾーンではデフォルト 共有 IP ゾーンでは禁止 |
フローの構成に必要 |
sys_ip_config |
必須、排他的 IP ゾーンではデフォルト 共有 IP ゾーンでは禁止 |
ゾーンのブートおよび排他的 IP
ゾーンの IP ネットワークの初期化に必要 |
sys_iptun_config |
必須、排他的 IP ゾーンではデフォルト 共有 IP ゾーンでは禁止 |
IP トンネルリンクの構成 |
contract_event |
デフォルト |
契約ファイルシステムで使用 |
contract_identity |
デフォルト |
プロセス規約テンプレートのサービス FMRI 値の設定 |
contract_observer |
デフォルト |
UID とは無関係な契約観察 |
file_chown |
デフォルト |
ファイル所有権の変更 |
file_chown_self |
デフォルト |
所有するファイルの所有者/グループの変更 |
file_dac_execute |
デフォルト |
モード/ACL に依存しない実行アクセス |
file_dac_read |
デフォルト |
モード/ACL
に依存しない読み取りアクセス |
file_dac_search |
デフォルト |
モード/ACL に依存しない検索アクセス |
file_dac_write |
デフォルト |
モード/ACL に依存しない書き込みアクセス |
file_link_any |
デフォルト |
所有者に依存しないリンクアクセス |
file_owner |
デフォルト |
所有者に依存しないその他のアクセス |
file_setid |
デフォルト |
setid、setgid、 setuid ファイルのアクセス権の変更 |
ipc_dac_read |
デフォルト |
モードに依存しない IPC 読み取りアクセス |
ipc_dac_owner |
デフォルト |
モードに依存しない IPC 書き込みアクセス |
ipc_owner |
デフォルト |
モードに依存しないその他の IPC アクセス |
net_icmpaccess |
デフォルト |
ICMP パケットアクセス:
ping(1M) |
net_privaddr |
デフォルト |
特権ポートへのバインド |
proc_audit |
デフォルト |
監査レコードの生成 |
proc_chroot |
デフォルト |
root ディレクトリの変更 |
proc_info |
デフォルト |
プロセスの検査 |
proc_lock_memory |
デフォルト |
メモリーのロック。 shmctl(2) および mlock(3C) この特権がシステム管理者によって非大域ゾーンに割り当てられている場合、ゾーンがすべてのメモリーをロックするのを防ぐために zone.max-locked-memory リソース制御の設定も検討してください。 |
proc_owner |
デフォルト |
所有者に依存しないプロセス制御 |
proc_session |
デフォルト |
セッションに依存しないプロセス制御 |
proc_setid |
デフォルト |
ユーザー/グループ ID の任意設定 |
proc_taskid |
デフォルト |
呼び出し元へのタスク ID の割り当て |
sys_acct |
デフォルト |
アカウンティングの管理 |
sys_admin |
デフォルト |
単純なシステム管理タスク |
sys_audit |
デフォルト |
監査の管理 |
sys_nfs |
デフォルト |
NFS クライアントのサポート |
sys_ppp_config |
排他的 IP
ゾーンではデフォルト 共有 IP ゾーンでは禁止 |
PPP (sppp) インタフェースの作成および削除、PPP トンネル (sppptun) の構成 |
sys_resource |
デフォルト |
リソース制限の操作 |
sys_share |
デフォルト |
ファイルシステムの共有に必要な sharefs システムコールを許可します。ゾーン内での NFS 共有を防止するために、ゾーン内で特権を禁止にすることができます。 |
|
次の表に、Oracle Solaris Trusted Extensions の特権すべて、および各特権のゾーン内のステータスを示します。省略可能な特権は、デフォルト特権セットの一部ではありませんが、limitpriv プロパティーを使って指定できます。
注 - Oracle Trusted Solaris 特権が解釈されるのは、システムが Oracle Trusted Extensions を使って構成されている場合だけです。
表 25-2 ゾーン内での Oracle Solaris Trusted Extensions の特権のステータス
|
|
|
file_downgrade_sl |
任意 |
ファイルまたはディレクトリの機密ラベルを、既存の機密ラベルを優先する機密ラベルに設定します。 |
file_upgrade_sl |
任意 |
ファイルまたはディレクトリの機密ラベルを、既存の機密ラベルよりも優先される機密ラベルに設定します。 |
sys_trans_label |
任意 |
機密ラベルの制御下にないラベルの変換 |
win_colormap |
任意 |
カラーマップ制限のオーバーライド |
win_config |
任意 |
X
サーバーにより常時保持されるリソースの構成または破棄 |
win_dac_read |
任意 |
クライアントのユーザー ID が所有していないウィンドウリソースからの読み取り |
win_dac_write |
任意 |
クライアントのユーザー ID が所有していないウィンドウリソースへの書き込みまたは作成 |
win_devices |
任意 |
入力デバイスでの操作の実行 |
win_dga |
任意 |
ダイレクトグラフィックスアクセス X プロトコル拡張機能の使用。フレームバッファー特権が必要 |
win_downgrade_sl |
任意 |
ウィンドウリソースの機密ラベルを、既存ラベルの制御下にある新規ラベルに変更 |
win_fontpath |
任意 |
フォントパスの追加 |
win_mac_read |
任意 |
クライアントのラベルを制御するラベルを使用した、ウィンドウリソースからの読み取り |
win_mac_write |
任意 |
クライアントのラベルと同等ではないラベルを使用した、ウィンドウリソースへの書き込み |
win_selection |
任意 |
確認者の介入なしでの要求データの移動 |
win_upgrade_sl |
任意 |
ウィンドウリソースの機密ラベルを、既存ラベルの制御下にない新規ラベルに変更 |
net_bindmlp |
デフォルト |
マルチレベルポート (MLP) へのバインドの許可 |
net_mac_aware |
デフォルト |
NFS を使用した読み取りの許可 |
|
非大域ゾーン構成内の特権を変更する方法については、「ゾーンを構成、検証、および確定する」を参照してください。
特権セットを検査する方法については、「ppriv ユーティリティーの使用」を参照してください。特権の詳細は、ppriv(1) のマニュアルページおよび『Solaris のシステム管理 (セキュリティサービス)』を参照してください。