特権を使用したシステムにおける管理上の相違点
特権を持つシステムと特権を持たないシステムとでは、明白な違いがいくつかあります。次の表に相違点の一部を示します。
表 1-2 特権を持つシステムと特権を持たないシステムとの明白な違い
|
|
|
デーモン
|
デーモンが root として実行されます。
|
デーモンが、ユーザー daemon として実行されます。
たとえば、デーモン lockd および rpcbind には限定された特権が割り当てられており、daemon として実行されます。
|
ログファイルの所有権
|
ログファイルは root によって所有されます。
|
ログファイルは、そのログファイルを作成する daemon によって所有されます。root ユーザーがこのファイルを所有することはありません。
|
エラーメッセージ
|
エラーメッセージでスーパーユーザーが言及されます。
たとえば、chroot: not superuser。
|
エラーメッセージで特権の使用が言及されます。
たとえば、chroot エラーと同等のエラーメッセージは chroot: exec failed。
|
setuid プログラム
|
プログラムは、通常のユーザーが実行を許可されていないタスクを完了するために setuid root を使用します。
|
多くの setuid root プログラムは、必要な特権のみで実行されます。
たとえば、コマンド audit、ikeadm、ipadm、ipsecconf、ping、traceroute、および newtask は特権を使用します。
|
ファイルアクセス権
|
デバイスアクセス権は DAC によって制御されます。たとえば、グループ sys のメンバーは /dev/ip を開くことができます。
|
デバイスを開くことができるユーザーをファイルアクセス権 (DAC) が予測することはありません。デバイスは、DAC と デバイスポリシーによって保護されます。
たとえば、/dev/ip ファイルには 666 アクセス権がありますが、デバイスを開くことができるのは適切な特権を持つプロセスだけです。
|
監査イベント
|
su コマンドの使用の監査によって、多くの管理機能がカバーされます。
|
特権の使用の監査によって、ほとんどの管理機能がカバーされます。cusa 監査クラスには、管理機能をモニターする監査イベントが含まれています。
|
プロセス
|
プロセスは、プロセス所有者の権利によって保護されます。
|
プロセスは特権によって保護されます。プロセス特権とプロセスフラグは、/proc/<pid>/priv ディレクトリ内の新しいエントリとして確認できます。
|
デバッグ
|
コアダンプ内で特権の言及はありません。
|
コアダンプの ELF 注記セクションで、NT_PRPRIV および NT_PRPRIVINFO の注記にプロセス特権とフラグについての情報が示されます。
ppriv コマンドやその他のコマンドでは、適切にサイズ設定されたセットの正しい数が示されます。これらのコマンドでは、ビットセット内のビットが特権名に正しく対応付けられます。
|
|