具有特权与不具有特权的系统之间的管理差别
具有特权的系统与不具有特权的系统存在多处明显差别。下表列出了其中的一些差别。
表 1-2 具有特权的系统与不具有特权的系统之间的明显差别
|
|
|
|
守护进程
|
以 root 身份运行守护进程。
|
例如,为以下守护进程指定了有限特权,并以 daemon 身份运行:lockd 和 rpcbind。
|
|
日志文件所有权
|
日志文件由 root 拥有。
|
日志文件由创建此日志文件的 daemon 拥有。root 用户不拥有此文件。
|
|
错误消息
|
错误消息涉及超级用户。
例如,chroot: not superuser。
|
错误消息反映特权的使用。
例如,chroot 失败的等效错误消息为 chroot: exec failed。
|
|
setuid 程序
|
程序使用 setuid root 来完成不允许一般用户执行的任务。
|
许多 setuid root 程序只使用所需的特权运行。
例如,以下命令使用特权:audit、ikeadm、ipadm、ipsecconf、ping、traceroute 和 newtask。
|
|
文件权限
|
设备权限由 DAC 控制。例如,sys 组的成员可以打开 /dev/ip。
|
文件权限 (DAC) 不会预测谁可以打开设备。设备通过 DAC 和设备策略进行保护。
例如,/dev/ip 文件具有 666 权限,但是该设备只能由具有适当特权的进程打开。
|
|
审计事件
|
审计 su 命令的使用会涉及许多管理功能。
|
审计特权的使用会涉及大多数管理功能。cusa 审计类包括监视管理功能的审计事件。
|
|
进程
|
进程受进程拥有者的权限保护。
|
进程受特权保护。进程特权和进程标志显示为 /proc/<pid>/priv 目录中的一个新项。
|
|
调试
|
不引用核心转储中的任何特权。
|
核心转储的 ELF 注释部分的 NT_PRPRIV 和 NT_PRPRIVINFO 注释中包含有关进程特权和标志的信息。
ppriv 命令和其他命令显示了大小合适的集的正确数目。这些命令会将位集中的位正确映射到特权名称。
|
|