비전역 영역의 권한
프로세스는 권한의 하위 세트로 제한됩니다. 권한 제한은 영역에서 다른 영역에 영향을 줄 수 있는 작업을 수행하지 못하도록 방지합니다. 권한 설정은 영역 내에서 권한 있는 사용자의 기능을 제한합니다. 지정된 영역에서 사용할 수 있는 권한 목록을 표시하려면 ppriv 유틸리티를 사용합니다.
다음 표는 영역에 관한 모든 Oracle Solaris 권한과 각 권한의 상태를 보여 줍니다. 선택적 권한은 기본 권한 세트에 포함되지 않지만 limitpriv 등록 정보를 통해 지정할 수 있습니다. 필수 권한은 결과 권한 세트에 포함되어야 합니다. 금지된 권한은 결과 권한 세트에 포함될 수 없습니다.
표 10-1 영역의 권한 상태 | | |
|---|
cpc_cpu
| 선택 사항
| 특정 cpc(3CPC) 카운터에 액세스
|
dtrace_proc
| 선택 사항
| fasttrap 및 pid 공급자, plockstat(1M)
|
dtrace_user
| 선택 사항
| profile 및 syscall 공급자
|
|
file_flag_set
|
선택 사항
|
프로세스에서 immutable, nounlink 또는 appendonly 파일 속성을 설정할 수 있게 합니다. 전역 영역에서 파일을 immutable로 표시하는 데 사용할 수 있고 비전역 영역에서는 파일을 제거할 수 없습니다.
|
graphics_access
| 선택 사항
| ioctl(2)에서 agpgart_io(7I)에 액세스
|
graphics_map
| 선택 사항
| mmap(2)에서 agpgart_io(7I)에 액세스
|
net_rawaccess
| 공유 IP 영역에서는 선택 사항입니다. 배타적 IP 영역에서는 기본값입니다.
| 원시 PF_INET/PF_INET6 패킷 액세스
|
proc_clock_highres
| 선택 사항
| 고해상도 타이머 사용
|
proc_priocntl
| 선택 사항
| 예약 제어: priocntl(1)
|
sys_ipc_config
| 선택 사항
| IPC 메시지 대기열 버퍼 크기 증가
|
sys_time
| 선택 사항
| 시스템 시간 조작: xntp(1M)
|
dtrace_kernel
| 금지됨
| 현재 지원되지 않음
|
proc_zone
| 금지됨
| 현재 지원되지 않음
|
sys_config
| 금지됨
| 현재 지원되지 않음
|
sys_devices
| 금지됨
| 현재 지원되지 않음
|
sys_dl_config
| 금지됨
| 현재 지원되지 않음
|
sys_linkdir
| 금지됨
| 현재 지원되지 않음
|
sys_net_config
| 금지됨
| 현재 지원되지 않음
|
sys_res_config
| 금지됨
| 현재 지원되지 않음
|
sys_smb
| 금지됨
| 현재 지원되지 않음
|
sys_suser_compat
| 금지됨
| 현재 지원되지 않음
|
|
file_read
|
필수, 기본값
|
프로세스에서 프로세스 읽기 권한을 허용하는 권한 또는 ACL이 포함된 파일이나 디렉토리를 읽을 수 있게 합니다.
|
|
file_write
|
필수, 기본값
|
프로세스에서 프로세스 쓰기 권한을 허용하는 권한 또는 ACL이 포함된 파일이나 디렉토리를 쓸 수 있게 합니다.
|
|
net_access
|
필수, 기본값
|
프로세스에서 TCP, UDP, SDP 또는 SCTP 네트워크 끝점을 읽을 수 있게 합니다.
|
proc_exec
| 필수, 기본값
| init(1M)를 시작하는 데 사용됨
|
proc_fork
| 필수, 기본값
| init(1M)를 시작하는 데 사용됨
|
sys_mount
| 필수, 기본값
| 필수 파일 시스템을 마운트하는 데 필요함
|
sys_flow_config
| 필수, 배타적 IP 영역에서는 기본값 공유 IP 영역에서는 금지됨
| 플로우를 구성하는 데 필요함
|
sys_ip_config
| 필수, 배타적 IP 영역에서는 기본값 공유 IP 영역에서는 금지됨
| 영역을 부트하고 배타적 IP 영역에서 IP 네트워킹을 초기화하는 데 필요함
|
sys_iptun_config
| 필수, 배타적 IP 영역에서는 기본값 공유 IP 영역에서는 금지됨
| IP 터널 링크 구성
|
contract_event
| 기본값
| 계약 파일 시스템에서 사용됨
|
contract_identity
| 기본값
| 프로세스 계약 템플리트의 서비스 FMRI 값 설정
|
contract_observer
| 기본값
| UID에 상관없이 계약 관찰
|
file_chown
| 기본값
| 파일 소유권 변경
|
file_chown_self
| 기본값
| 소유한 파일의 소유자/그룹 변경
|
file_dac_execute
| 기본값
| 모드/ACL에 상관없이 실행 액세스
|
file_dac_read
| 기본값
| 모드/ACL에 상관없이 읽기 액세스
|
file_dac_search
| 기본값
| 모드/ACL에 상관없이 검색 액세스
|
file_dac_write
| 기본값
| 모드/ACL에 상관없이 쓰기 액세스
|
file_link_any
| 기본값
| 소유자에 상관없이 링크 액세스
|
file_owner
| 기본값
| 소유자에 상관없이 기타 액세스
|
file_setid
| 기본값
| setid, setgid, setuid 파일에 대한 권한 변경
|
ipc_dac_read
| 기본값
| 모드에 상관없이 IPC 읽기 액세스
|
|
ipc_dac_write
|
기본값
|
프로세스에서 권한 비트가 프로세스 쓰기 권한을 허용하지 않는 시스템 V IPC 메시지 대기열, 세마포 세트 또는 공유 메모리 세그먼트를 쓸 수 있게 합니다.
|
ipc_dac_owner
| 기본값
| 모드에 상관없이 IPC 쓰기 액세스
|
ipc_owner
| 기본값
| 모드에 상관없이 IPC 기타 액세스
|
net_icmpaccess
| 기본값
| ICMP 패킷 액세스: ping(1M)
|
|
net_observability
|
기본값
|
프로세스에서 네트워크 트래픽 수신을 위해 장치를 열 수 있게 합니다. 트래픽 전송은 허용되지 않습니다.
|
net_privaddr
| 기본값
| 권한 부여된 포트에 바인딩
|
proc_audit
| 기본값
| 감사 레코드 생성
|
proc_chroot
| 기본값
| root 디렉토리 변경
|
proc_info
| 기본값
| 프로세스 검사
|
proc_lock_memory
| 기본값
| 메모리 잠금: shmctl(2)및 mlock(3C) 시스템 관리자가 이 권한을 비전역 영역에 지정한 경우 영역에서 모든 메모리를 잠그지 못하도록 zone.max-locked-memory 리소스 제어를 설정하는 것이 좋습니다.
|
proc_owner
| 기본값
| 소유자에 상관없이 프로세스 제어
|
proc_session
| 기본값
| 세션에 상관없이 프로세스 제어
|
proc_setid
| 기본값
| 사용자/그룹 ID를 마음대로 설정
|
proc_taskid
| 기본값
| 호출자에게 작업 ID 지정
|
sys_acct
| 기본값
| 계정 관리
|
sys_admin
| 기본값
| 간단한 시스템 관리 작업
|
sys_audit
| 기본값
| 감사 관리
|
sys_nfs
| 기본값
| NFS 클라이언트 지원
|
sys_ppp_config
| 배타적 IP 영역의 기본값 공유 IP 영역에서는 금지됨
| PPP(sppp) 인터페이스 만들기 및 삭제, PPP 터널(sppptun) 구성
|
sys_resource
| 기본값
| 리소스 제한 조작
|
sys_share
| 기본값
| 파일 시스템을 공유하는 데 필요한 sharefs 시스템 호출을 허용합니다. 영역 구성에서 권한을 금지하여 영역에서 NFS 공유를 금지할 수 있습니다.
|
|
다음 표는 영역에 관한 모든 Oracle Solaris Trusted Extensions 권한과 각 권한의 상태를 보여 줍니다. 선택적 권한은 기본 권한 세트에 포함되지 않지만 limitpriv 등록 정보를 통해 지정할 수 있습니다.
주 - Oracle Trusted Solaris 권한은 Oracle Trusted Extensions를 사용하여 시스템을 구성한 경우에만 해석됩니다.
표 10-2 영역의 Oracle Solaris Trusted Extensions 권한 상태 | | |
|---|
file_downgrade_sl
| 선택 사항
| 파일 또는 디렉토리의 민감도 레이블을 기존 민감도 레이블을 지배하지 않는 민감도 레이블로 설정
|
file_upgrade_sl
| 선택 사항
| 파일 또는 디렉토리의 민감도 레이블을 기존 민감도 레이블을 지배하는 민감도 레이블로 설정
|
sys_trans_label
| 선택 사항
| 민감도 레이블에 의해 지배되지 않는 레이블 변환
|
win_colormap
| 선택 사항
| 색상맵 제한 대체
|
win_config
| 선택 사항
| X 서버에서 영구히 보존되는 리소스 구성 또는 삭제
|
win_dac_read
| 선택 사항
| 클라이언트의 사용자 ID가 소유하지 않은 창 리소스에서 읽기
|
win_dac_write
| 선택 사항
| 클라이언트의 사용자 ID가 소유하지 않은 창 리소스에 쓰기 또는 창 리소스 만들기
|
win_devices
| 선택 사항
| 입력 장치에서 작업을 수행합니다.
|
win_dga
| 선택 사항
| 직접 그래픽 액세스 X 프로토콜 확장 사용, 프레임 버퍼 권한 필요
|
win_downgrade_sl
| 선택 사항
| 창 리소스의 민감도 레이블을 기존 레이블에 지배되는 새 레이블로 변경
|
win_fontpath
| 선택 사항
| 다른 글꼴 경로 추가
|
win_mac_read
| 선택 사항
| 클라이언트의 레이블을 지배하는 레이블을 가진 창 리소스에서 읽기
|
win_mac_write
| 선택 사항
| 클라이언트의 레이블과 다른 레이블을 가진 창 리소스에 쓰기
|
win_selection
| 선택 사항
| 확인자의 개입 없이 데이터 이동 요청
|
win_upgrade_sl
| 선택 사항
| 창 리소스의 민감도 레이블을 기존 레이블에 지배되지 않는 새 레이블로 변경
|
net_bindmlp
| 기본값
| MLP(다중 레벨 포트)에 바인딩 허용
|
net_mac_aware
| 기본값
| NFS를 통해 아래로 읽기 허용
|
|
비전역 영역 구성에서 권한을 변경하려면 영역 구성, 확인 및 커밋을 참조하십시오.
권한 세트를 검사하려면 ppriv 유틸리티 사용을 참조하십시오. 권한에 대한 자세한 내용은 ppriv(1) 매뉴얼 페이지 및 시스템 관리 설명서: 보안 서비스를 참조하십시오.