Oracle Solaris では、管理者がセキュリティーを構成するとき、高い柔軟性が提供されます。 このソフトウェアがインストールされている場合、特権エスカレーションが防止されます。特権エスカレーションは、意図していたよりも多くの管理権利がユーザーまたはプロセスに与えられたときに発生します。この場合「特権」とはカーネル特権だけではなく、すべての権利を意味します。特権エスカレーションとカーネル特権を参照してください。
Oracle Solaris ソフトウェアには、root 役割にのみ割り当てられる権利が含まれています。ほかのセキュリティー保護が存在する状態で、root 役割用に設計された属性を管理者がほかのアカウントに割り当てる可能性がありますが、このような割り当ては慎重に行う必要があります。
次に示す権利プロファイルと一連の承認により、root 以外のアカウントの特権がエスカレートされる可能性があります。
Media Restore 権利プロファイル – このプロファイルはほかのどの権利プロファイルにも含まれていません。Media Restore はルートファイルシステム全体へのアクセスを提供するため、これを使用することで特権のエスカレーションが可能です。故意に改ざんされたファイルや交換したメディアを復元できます。デフォルトでは、root 役割にはこの権利プロファイルが含まれています。
solaris.*.assign 承認 – これらの承認はどの権利プロファイルにも割り当てられていません。solaris.*.assign 承認を持つアカウントは、そのアカウント自体に割り当てられていない権利をほかのユーザーに割り当てることができます。たとえば、solaris.profile.assign 承認を持つ役割は、その役割自体に割り当てられていない権利プロファイルをほかのアカウントに割り当てることができます。デフォルトでは、solaris.*.assign 承認を持つのは root 役割だけです。
solaris.*.assign 承認ではなく solaris.*.delegate 承認を割り当てます。solaris.*.delegate 承認を使用すると、委託者は、その委託者が所有する権利のみをほかのアカウントに割り当てることができます。たとえば、solaris.profile.delegate 承認が割り当てられた役割は、その役割自体に割り当てられている権利プロファイルをほかのユーザーや役割に割り当てることができます。
カーネル特権のエスカレーションの防止については、特権エスカレーションとカーネル特権を参照してください。