Oracle Solaris는 보안을 구성할 때 관리자에게 커다란 유연성을 부여합니다. 설치 시 소프트웨어는 권한 에스컬레이션을 금지합니다. 사용자나 프로세스가 부여하려는 것보다 많은 관리 권한(right)을 얻을 경우 권한(privilege) 에스컬레이션이 발생합니다. 이런 의미에서 "권한(privilege)"은 커널 권한(privilege)뿐 아니라 모든 권한(right)을 의미합니다. 권한 에스컬레이션 및 커널 권한을 참조하십시오.
Oracle Solaris 소프트웨어에는 root 역할에만 지정된 권한이 있습니다. 다른 보안 보호를 그대로 둔 채, 관리자는 root 역할용으로 설계된 속성을 다른 계정에 지정할 수 있지만, 이러한 지정 작업은 몹시 주의를 기울여야 합니다.
다음 권한(right) 프로파일과 권한 부여 세트는 비root 계정의 권한(privilege)을 에스컬레이션할 수 있습니다.
Media Restore 권한 프로파일 – 이 프로파일은 다른 권한 프로파일에 속하지 않습니다. Media Restore는 전체 루트 파일 시스템에 대한 액세스를 제공하므로 사용하면 권한 에스컬레이션이 가능합니다. 고의로 수정된 파일이나 대체 매체를 복원할 수 있습니다. 기본적으로 root 역할에 이 권한 프로파일이 포함됩니다.
solaris.*.assign 권한 부여 – 이러한 권한 부여는 권한 프로파일에 지정되지 않습니다. solaris.*.assign 권한이 부여된 계정은 계정 자체에 지정되지 않은 권한을 다른 사용자에게 지정할 수 있습니다. 예를 들어, solaris.profile.assign 권한을 가진 역할은 역할 자체에 지정되지 않은 권한 프로파일을 다른 계정에 지정할 수 있습니다. 기본적으로 root 역할에만 solaris.*.assign 권한이 있습니다.
solaris.*.assign 권한 부여 대신 solaris.*.delegate 권한 부여를 지정합니다. solaris.*.delegate 권한 부여를 사용하면 위임자가 보유한 권한만 다른 계정에 지정할 수 있습니다. 예를 들어, solaris.profile.delegate 권한이 지정된 역할은 역할 자체에 지정된 권한 프로파일을 다른 사용자와 역할에 지정할 수 있습니다.
커널 권한 에스컬레이션을 금지하려면 권한 에스컬레이션 및 커널 권한을 참조하십시오.