Privilèges dans une zone non globale

Langue :

Les processus sont limités à un sous-ensemble de privilèges. La restriction au niveau des privilèges empêche une zone de réaliser des opérations qui pourraient avoir une incidence sur d'autres zones. L'ensemble de privilèges limite les possibilités d'action des utilisateurs disposant de privilèges au sein d'une zone. Pour afficher la liste des privilèges disponibles au sein d'une zone, exécutez l'utilitaire ppriv.

Le tableau suivant répertorie tous les privilèges Oracle Solaris et le statut qui leur est associé par rapport aux zones. Les privilèges facultatifs ne font pas partie de l'ensemble par défaut des privilèges. Vous pouvez toutefois les spécifier à l'aide de la propriété limitpriv. Les privilèges requis doivent être inclus dans l'ensemble des privilèges obtenu. Les privilèges interdits ne peuvent pas être inclus dans l'ensemble des privilèges obtenu.

Table 10-1 Statut des privilèges dans les zones

Privilège	Etat	Remarques
`cpc_cpu`	Facultatif	Accès à certains compteurs `cpc`(3CPC)
`dtrace_proc`	Facultatif	Fournisseurs `fasttrap` et `pid` ; `plockstat`(1M)
`dtrace_user`	Facultatif	Fournisseurs `profile` et `syscall`
`file_flag_set`	Facultatif	Permet à un processus de définir des attributs de fichier immutable ou appendonly ; peut être utilisé pour marquer les fichiers comme immutable dans la zone globale, si bien que la zone non globale ne peut pas supprimer les fichiers.
`graphics_access`	Facultatif	Accès de `ioctl`(2) à `agpgart_io`(7I)
`graphics_map`	Facultatif	Accès de `mmap`(2) à `agpgart_io`(7I)
`net_rawaccess`	Facultatif dans les zones en mode IP partagé Par défaut dans les zones en mode IP exclusif	Accès au paquet `PF_INET/PF_INET6` brut
`proc_clock_highres`	Facultatif	Utilisation d'horloges haute résolution
`proc_priocntl`	Facultatif	Contrôle de planification ; `priocntl`(1)
`sys_ipc_config`	Facultatif	Augmentation de la taille du tampon de file d'attente des messages IPC
`sys_time`	Facultatif	Manipulation du temps système ; `xntp`(1M)
`dtrace_kernel`	Interdit	Actuellement non pris en charge
`proc_zone`	Interdit	Actuellement non pris en charge
`sys_config`	Interdit	Actuellement non pris en charge
`sys_devices`	Interdit	Actuellement non pris en charge
`sys_dl_config`	Interdit	Actuellement non pris en charge
`sys_linkdir`	Interdit	Actuellement non pris en charge
`sys_net_config`	Interdit	Actuellement non pris en charge
`sys_res_config`	Interdit	Actuellement non pris en charge
`sys_smb`	Interdit	Actuellement non pris en charge
`sys_suser_compat`	Interdit	Actuellement non pris en charge
`file_read`	Requis, par défaut	Permet à un processus de lire un fichier ou répertoire dont les droits d'accès ou l'ACL donne au processus des droits d'accès en lecture
`file_write`	Requis, par défaut	Permet à un processus d'écrire un fichier ou un répertoire dont les droits d'accès ou l'ACL donne au processus des droits d'accès en écriture
`net_access`	Requis, par défaut	Permet à un processus d'ouvrir une extrémité de réseau TCP, UDP, SDP ou SCTP
`proc_exec`	Requis, par défaut	Permet de démarrer `init`(1M)
`proc_fork`	Requis, par défaut	Permet de démarrer `init`(1M)
`sys_mount`	Requis, par défaut	Nécessaire dans le cadre du montage de systèmes de fichiers requis
`sys_flow_config`	Requis, par défaut dans les zones en mode IP exclusif Interdit dans les zones en mode IP partagé	Nécessaire pour configurer les flux
`sys_ip_config`	Requis, par défaut dans les zones en mode IP exclusif Interdit dans les zones en mode IP partagé	Requis pour initialiser la zone et le réseau IP dans les zones en mode IP exclusif
`sys_iptun_config`	Requis, par défaut dans les zones en mode IP exclusif Interdit dans les zones en mode IP partagé	Configuration des liens de tunnel IP
`contract_event`	Par défaut	Utilisé par le système de fichiers de contrat
`contract_identity`	Par défaut	Définition de la valeur FMRI d'un modèle de contrat de processus
`contract_observer`	Par défaut	Observation de contrat quel que soit l'ID utilisateur
`file_chown`	Par défaut	Modification de la propriété des fichiers
`file_chown_self`	Par défaut	Modification apportée au propriétaire/groupe de ses propres fichiers
`file_dac_execute`	Par défaut	Accès d'exécution quel que soit le mode ou la liste ACL
`file_dac_read`	Par défaut	Accès en lecture quel que soit le mode ou la liste ACL
`file_dac_search`	Par défaut	Accès de recherche quel que soit le mode ou la liste ACL
`file_dac_write`	Par défaut	Accès en écriture quel que soit le mode ou la liste ACL
`file_link_any`	Par défaut	Accès de liaison quel que soit le propriétaire
`file_owner`	Par défaut	Autre accès quel que soit le propriétaire
`file_setid`	Par défaut	Modification des droits d'accès pour les fichiers `setid`, `setgid`, `setuid`
`ipc_dac_read`	Par défaut	Accès en lecture IPC quel que soit le mode
`ipc_dac_write`	Par défaut	Permet à un processus d'écrire sur une file d'attente System V IPC, un ensemble de sémaphores, ou un segment de mémoire partagée dans lesquels les octets de permission ne permettent pas au processus d'écrire
`ipc_dac_owner`	Par défaut	Accès en écriture IPC quel que soit le mode
`ipc_owner`	Par défaut	Autre accès IPC quel que soit le mode
`net_icmpaccess`	Par défaut	Accès au paquet ICMP : `ping`(1M)
`net_observability`	Par défaut	Permet à un processus d'ouvrir un périphérique pour la réception du trafic réseau ; l'envoi de trafic est interdit
`net_privaddr`	Par défaut	Liaison aux ports avec privilèges
`proc_audit`	Par défaut	Génération d'enregistrements d'audit
`proc_chroot`	Par défaut	Modification du répertoire `root`
`proc_info`	Par défaut	Examen de processus
`proc_lock_memory`	Par défaut	Verrouillage de mémoire ; `shmctl`(2) et `mlock`(3C) Si l'administrateur système a assigné ce privilège à une zone non globale, envisagez également de configurer le contrôle de ressources `zone.max-locked-memory` pour empêcher la zone de verrouiller la totalité de la mémoire.
`proc_owner`	Par défaut	Contrôle de processus quel que soit le propriétaire
`proc_session`	Par défaut	Contrôle de processus quelle que soit la session
`proc_setid`	Par défaut	Définition des ID d'utilisateur ou de groupe à convenance
`proc_taskid`	Par défaut	Assignation des ID de tâche à l'appelant
`sys_acct`	Par défaut	Gestion de la comptabilité
`sys_admin`	Par défaut	Tâches simples d'administration système
`sys_audit`	Par défaut	Gestion de l'audit
`sys_nfs`	Par défaut	Support client NFS
`sys_ppp_config`	Valeur par défaut dans les zones en mode IP exclusif Interdit dans les zones en mode IP partagé	Création et suppression des interfaces PPP (sppp), configuration des tunnels PPP (sppptun)
`sys_resource`	Par défaut	Manipulation de limite des ressources
`sys_share`	Par défaut	Autorise l'appel système `sharefs` requis pour partager des systèmes de fichiers. Ce privilège peut être interdit dans la configuration de la zone afin d'empêcher le partage NFS au sein d'une zone.

Le tableau suivant répertorie tous les privilèges Oracle Solaris Trusted Extensions ainsi que leur statut par rapport aux zones. Les privilèges facultatifs ne font pas partie de l'ensemble par défaut des privilèges. Vous pouvez toutefois les spécifier à l'aide de la propriété limitpriv.

Remarque - Les privilèges Oracle Trusted Solaris sont interprétés uniquement si le système est configuré avec Oracle Solaris Trusted Extensions.

Table 10-2 Statuts des privilèges Oracle Solaris Trusted Extensions dans les zones

Privilège Oracle Solaris Trusted Extensions	Etat	Remarques
`File_downgrade_sl`	Facultatif	Définissez l'étiquette de sensibilité d'un fichier ou d'un répertoire de manière à ce qu'elle ne domine pas l'étiquette de sensibilité existante.
`File_upgrade_sl`	Facultatif	Définissez l'étiquette de sensibilité d'un fichier ou d'un répertoire de manière à ce qu'elle domine l'étiquette de sensibilité existante.
`sys_trans_label`	Facultatif	Traduction des étiquettes non dominées par l'étiquette de sensibilité
`win_colormap`	Facultatif	Redéfinition des restrictions de la palette des couleurs
`win_config`	Facultatif	Configuration ou destruction des ressources retenues en permanence par le serveur X
`win_dac_read`	Facultatif	Lecture à partir de la ressource fenêtre qui n'appartient pas à l'ID utilisateur du client
`win_dac_write`	Facultatif	Création de la ressource fenêtre qui n'appartient pas à l'ID utilisateur du client ou écriture dans celle-ci
`win_devices`	Facultatif	Réalisation d'opérations sur les périphériques d'entrée
`win_dga`	Facultatif	Utilisation des extensions du protocole X d'accès direct aux graphiques ; privilèges de mémoire graphique requis
`win_downgrade_sl`	Facultatif	Remplacement de l'étiquette de sensibilité de la ressource fenêtre par une nouvelle étiquette dominée par l'étiquette existante
`win_fontpath`	Facultatif	Ajout d'un chemin de police supplémentaire
`win_mac_read`	Facultatif	Lecture à partir de la ressource fenêtre avec une étiquette dominant l'étiquette du client
`win_mac_write`	Facultatif	Ecriture dans la ressource fenêtre avec une étiquette différente de l'étiquette du client
`win_selection`	Facultatif	Demande de déplacement de données sans intervention du confirmeur
`win_upgrade_sl`	Facultatif	Remplacement de l'étiquette de sensibilité de la ressource fenêtre par une nouvelle étiquette non dominée par l'étiquette existante
`net_bindmlp`	Par défaut	Autorisation de la liaison à un port multiniveau (MLP, multilevel port)
`net_mac_aware`	Par défaut	Autorisation de la lecture via NFS

Pour modifier les privilèges dans une configuration de zone non globale, reportez-vous à la section Configuration, vérification et validation d'une zone.

Pour examiner les ensembles de privilèges, reportez-vous à la section Utilisation de l'utilitaire ppriv. Pour plus d'informations sur les privilèges, voir la page de manuel ppriv(1) et le manuel System Administration Guide: Security Services.