特定の状況では、標準ユーザーまたはゲストユーザーの基本セットから一部の基本特権を削除できます。たとえば、Sun Ray ユーザーは自分が所有していないプロセスのステータスを確認できない場合があります。
始める前に
root 役割になる必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
次の 3 つの基本特権は、削除の対象になる可能性があります。
% ppriv -lv basic file_link_any Allows a process to create hardlinks to files owned by a uid different from the process' effective uid. ... proc_info Allows a process to examine the status of processes other than those it can send signals to. Processes which cannot be examined cannot be seen in /proc and appear not to exist. proc_session Allows a process to send signals or trace processes outside its session. ...
システムを使用しようとするユーザーは、これらの特権を拒否されます。この特権削除の方法は、だれでも使用可能なコンピュータに適している可能性があります。
# pfedit /etc/security/policy.conf ... #PRIV_DEFAULT=basic PRIV_DEFAULT=basic,!file_link_any,!proc_info,!proc_session
# usermod -K 'defaultpriv=basic,!file_link_any' user
# usermod -K 'defaultpriv=basic,!proc_info' user
# usermod -K 'defaultpriv=basic,!proc_session' user
# usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user
この保護は、この権利プロファイルが割り当てられたユーザーまたはシステムに適用されます。
# profiles -p shared-profile -S ldap shared-profile: set defaultpriv=basic,!file_link_any,!proc_info,!proc_session ...
権利プロファイルの作成の詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の権利プロファイルと承認の作成を参照してください。
Sun Ray ユーザーやリモートユーザーなど、権利プロファイルを共有するユーザーの数が多い場合は、権利プロファイルにこの値を設定することがスケーラブルな解決方法になります。
# usermod -P shared-profile username
また、policy.conf ファイルでシステムごとにプロファイルを割り当てることもできます。
# pfedit /etc/security/policy.conf ... #PROFS_GRANTED=Basic Solaris User PROFS_GRANTED=shared-profile,Basic Solaris User
関連項目
詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の第 1 章権利を使用したユーザーとプロセスの制御についておよび privileges(5) のマニュアルページを参照してください。