非全局区域中的特权

仅允许进程拥有部分权限。特权限制可防止某个区域执行可能会影响其他区域的操作。通过特权设置，可以限制区域内特权用户的功能。要显示区域内可用权限的列表，请使用 ppriv 实用程序。

下表列出了所有 Oracle Solaris 特权以及每个特权相对于区域的状态。缺省特权集不包含可选的特权，但可以通过 limitpriv 属性指定它们。最终的特权集中必须包含必需特权。最终的特权集中不能包含禁止特权。

从 Oracle Solaris 10 11/06 发行版开始，可以使用 limitpriv 属性。

表 27-1 区域中特权的状态

特权	状态	附注
`cpc_cpu`	可选	访问某些 `cpc`(3CPC) 计数器的权限
`dtrace_proc`	可选	`fasttrap` 和 `pid` 提供器；`plockstat`(1M)
`dtrace_user`	可选	`profile` 和 `syscall` 提供器
`graphics_access`	可选	访问 `agpgart_io`(7I) 的 `ioctl`(2)
`graphics_map`	可选	访问 `agpgart_io`(7I) 的 `mmap`(2)
`net_rawaccess`	在共享 IP 区域中为可选的。在专用 IP 区域中为缺省值。	原始 `PF_INET/PF_INET6` 包访问权限
`proc_clock_highres`	可选	使用高精度计时器
`proc_priocntl`	可选	调度控制；`priocntl`(1)
`sys_ipc_config`	可选	增加 IPC 消息队列缓冲区大小
`sys_time`	可选	系统时间处理；`xntp`(1M)
`dtrace_kernel`	禁止	当前不支持
`proc_zone`	禁止	当前不支持
`sys_config`	禁止	当前不支持
`sys_devices`	禁止	当前不支持
`sys_linkdir`	禁止	当前不支持
`sys_net_config`	禁止	当前不支持
`sys_res_config`	禁止	当前不支持
`sys_suser_compat`	禁止	当前不支持
`proc_exec`	必需，缺省值	用于启动 `init`(1M)
`proc_fork`	必需，缺省值	用于启动 `init`(1M)
`sys_mount`	必需，缺省值	需要用于挂载必需的文件系统
`sys_ip_config`	在专用 IP 区域中为必需、缺省权限。在共享 IP 区域中为禁止权限。	在专用 IP 区域中需要用于引导和初始化 IP 联网
`contract_event`	缺省值	供合约文件系统使用
`contract_observer`	缺省值	合约调查，不考虑 UID
`file_chown`	缺省值	文件所有权更改
`file_chown_self`	缺省值	拥有文件的所有者/组更改
`file_dac_execute`	缺省值	执行访问权限，不考虑模式/ACL
`file_dac_read`	缺省值	读取访问权限，不考虑模式/ACL
`file_dac_search`	缺省值	搜索访问权限，不考虑模式/ACL
`file_dac_write`	缺省值	写入访问权限，不考虑模式/ACL
`file_link_any`	缺省值	链接访问权限，不考虑所有者
`file_owner`	缺省值	其他访问权限，不考虑所有者
`file_setid`	缺省值	更改 `setid`、`setgid` 和 `setuid` 文件的权限
`ipc_dac_read`	缺省值	IPC 读取访问权限，不考虑模式
`ipc_dac_owner`	缺省值	IPC 写入访问权限，不考虑模式
`ipc_owner`	缺省值	IPC 其他访问权限，不考虑模式
`net_icmpaccess`	缺省值	ICMP 包访问权限： `ping`(1M)
`net_privaddr`	缺省值	绑定到特权端口
`proc_audit`	缺省值	生成审计记录
`proc_chroot`	缺省值	更改 `root` 目录
`proc_info`	缺省值	检查进程
`proc_lock_memory`	缺省值	锁定内存；`shmctl`(2) 和 `mlock`(3C) 如果系统管理员要将此特权指定给非全局区域，请同时考虑设置 `zone.max-locked-memory` 资源控制以防止区域锁定所有内存。
`proc_owner`	缺省值	控制进程，不考虑所有者
`proc_session`	缺省值	控制进程，不考虑会话
`proc_setid`	缺省值	任意设置用户/组 ID
`proc_taskid`	缺省值	将任务 ID 指定给调用者
`sys_acct`	缺省值	记帐管理
`sys_admin`	缺省值	简单的系统管理任务
`sys_audit`	缺省值	审计管理
`sys_nfs`	缺省值	NFS 客户端支持
`sys_resource`	缺省值	资源限制处理

下表列出了区域中所有 Oracle Solaris Trusted Extensions 特权，以及相对于区域每个特权的状态。缺省特权集不包含可选的特权，但可以通过 limitpriv 属性指定它们。

注 - 仅当系统配置了 Oracle Solaris Trusted Extensions 时，才会解释这些特权。

表 27-2 区域中 Oracle Solaris Trusted Extensions 特权的状态

Oracle Solaris Trusted Extensions 特权	状态	附注
`file_downgrade_sl`	可选	将文件或目录的敏感标签设置为不影响现有敏感标签的敏感标签
`file_upgrade_sl`	可选	将文件或目录的敏感标签设置为影响现有敏感标签的敏感标签
`sys_trans_label`	可选	转换优先级低于敏感标签的标签
`win_colormap`	可选	颜色映射限制覆盖
`win_config`	可选	配置或销毁 X 服务器永久保留的资源
`win_dac_read`	可选	从非客户机用户 ID 拥有的窗口资源中进行读取
`win_dac_write`	可选	写入或创建非客户机用户 ID 拥有的窗口资源
`win_devices`	可选	在输入设备上执行操作。
`win_dga`	可选	使用直接图形访问 X 协议扩展；需要帧缓存器特权
`win_downgrade_sl`	可选	将窗口资源的敏感标签更改为优先级低于现有标签的新标签
`win_fontpath`	可选	添加其他字体路径
`win_mac_read`	可选	从其标签优先级高于客户机标签的窗口资源中进行读取
`win_mac_write`	可选	写入其标签优先级与客户机标签优先级不同的窗口资源
`win_selection`	可选	请求移动数据，而无需确认者介入
`win_upgrade_sl`	可选	将窗口资源的敏感标签更改为优先级不低于现有标签的新标签
`net_bindmlp`	缺省值	允许绑定到多级别端口 (Multilevel Port, MLP)
`net_mac_aware`	缺省值	允许通过 NFS 向下读取

要在配置非全局区域过程中更改权限，请参见配置、检验并提交区域。

要检查特权集，请参见使用 ppriv 实用程序。有关权限的更多信息，请参见 ppriv(1) 手册页和《系统管理指南：安全性服务》。

跳过导航链接
退出打印视图
	系统管理指南：Oracle Solaris Containers－资源管理和 Oracle Solaris Zones Oracle Solaris 10 1/13 Information Library (简体中文)