使用设备策略机制,可以指定打开设备的进程需要某些特权。仅有正在使用设备策略指定的特权运行的进程才能访问受设备策略保护的设备。Oracle Solaris 提供了缺省设备策略。例如,bge0 之类的网络接口要求对其进行访问的进程使用 net_rawaccess 特权运行。该要要求是在内核中实施的。有关特权的更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的进程权限管理。
在 Oracle Solaris 中,使用文件权限和设备策略来保护设备。例如,/dev/ip 文件具有 666 权限。但是,设备只能由具有相应特权的进程打开。
可以审计设备策略的配置。AUE_MODDEVPLCY 审计事件可记录设备策略的更改。
有关设备策略的更多信息,请参见以下内容: