通常,用户或角色可以通过权限配置文件获得管理权限,但是也可以为其直接指定权限。
可以直接将特权指定给用户和角色。
直接指定特权的做法并不安全。具有直接指定的特权的用户和角色在每次内核需要该特权时会覆盖安全策略。同样,只要内核需要该特权,入侵用户或角色进程的恶意进程就可以使用此特权。
更安全的做法是在权限配置文件中将特权指定为某个命令的安全属性。这样,该特权只可由拥有此权限配置文件的用户用于该命令。
可以直接将授权指定给用户和角色。
由于授权在用户级别进行评估,因此,与直接指定特权相比,直接指定授权的危险性小一些。但是,用户可以使用授权来执行安全级别很高的任务,如指定审计标志。为提高安全性,请在需要验证权限配置文件中指定授权,对于此类配置文件,用户必须提供口令,然后才能执行命令。