특정 환경에서는 일반 사용자 또는 guest 사용자의 기본 세트에서 일부 기본 권한을 제거할 수 있습니다. 예를 들어 Sun Ray 사용자가 소유하지 않은 프로세스의 상태를 확인할 수 없도록 방지할 수 있습니다.
시작하기 전에
root 역할을 가져야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
다음 세 가지 기본 권한을 제거할 수 있습니다.
% ppriv -lv basic file_link_any Allows a process to create hardlinks to files owned by a uid different from the process' effective uid. ... proc_info Allows a process to examine the status of processes other than those it can send signals to. Processes which cannot be examined cannot be seen in /proc and appear not to exist. proc_session Allows a process to send signals or trace processes outside its session. ...
시스템 사용을 시도하는 모든 사용자에게는 이러한 권한이 거부됩니다. 이 권한 제거 방법은 공개적으로 사용 가능한 컴퓨터에 적합할 수 있습니다.
# pfedit /etc/security/policy.conf ... #PRIV_DEFAULT=basic PRIV_DEFAULT=basic,!file_link_any,!proc_info,!proc_session
# usermod -K 'defaultpriv=basic,!file_link_any' user
# usermod -K 'defaultpriv=basic,!proc_info' user
# usermod -K 'defaultpriv=basic,!proc_session' user
# usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user
이 보호는 이 권한 프로파일을 지정한 모든 사용자 또는 시스템에 적용됩니다.
# profiles -p shared-profile -S ldap shared-profile: set defaultpriv=basic,!file_link_any,!proc_info,!proc_session ...
권한 프로파일 만들기에 대한 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 권한 프로파일 및 권한 부여 만들기를 참조하십시오.
Sun Ray 또는 원격 사용자 등 여러 사용자가 권한 프로파일을 공유하는 경우 권한 프로파일에서 이 값을 설정하는 것은 확장 가능한 솔루션이 될 수 있습니다.
# usermod -P shared-profile username
또한 policy.conf 파일에서 시스템당 프로파일을 지정할 수도 있습니다.
# pfedit /etc/security/policy.conf ... #PROFS_GRANTED=Basic Solaris User PROFS_GRANTED=shared-profile,Basic Solaris User
참조
자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 1 장, 권한을 사용하여 사용자 및 프로세스 제어 정보 및 privileges(5) 매뉴얼 페이지를 참조하십시오.