特権のリファレンス

プロセスを制限する特権は、カーネル内に実装され、コマンド、ユーザー、役割、またはシステムレベルでプロセスを制限できます。

特権処理のためのコマンド

次の表に、特権の処理に使用できるコマンドのリストを示します。

表 5  特権処理のためのコマンド

目的 コマンド マニュアルページ 特権失敗をデバッグします ppriv -eD failed-operation ppriv(1) システム上の特権を一覧表示します ppriv -l ppriv(1) 特権とその説明を一覧表示します ppriv -lv priv ppriv(1) UID、プロセス、またはポートに関する拡張特権ポリシーを一覧表示します ppriv -lv extended-policy ppriv(1) プロセスの特権を検査します ppriv -v pid ppriv(1) 拡張特権ポリシーを UID、プロセス、またはポートに追加します ppriv -r rule privileges(5) プロセス特権を設定します ppriv -s spec ppriv(1) 拡張特権ポリシールールを削除します ppriv -X rule privileges(5) 特権を権利プロファイルに割り当てます profiles -p profile-name profiles(1) 特権を新しい役割に割り当てます roleadd -K defaultpriv= roleadd(1M) 特権を既存の役割に追加します rolemod -K defaultpriv+= rolemod(1M) 特権を新しいユーザーに割り当てます useradd -K defaultpriv= useradd(1M) 特権を既存のユーザーに追加します usermod -K defaultpriv+= usermod(1M) デバイスポリシーをデバイスに追加します add_drv -p policy driver add_drv(1M) デバイスポリシーを設定します devfsadm devfsadm(1M) デバイスポリシーを表示します getdevpolicy getdevpolicy(1M) オープンデバイス上のデバイスポリシーを更新します update_drv -p policy driver update_drv(1M)

特権情報が含まれるファイル

policy.conf および syslog.conf ファイルには、特権に関する情報が含まれています。

• /etc/security/policy.conf には次の特権情報が含まれています。

  • PRIV_DEFAULT – システムに対する特権の継承可能セット

  • PRIV_LIMIT – システムに対する特権の制限セット

  詳細は、policy.conf(4) のマニュアルページを参照してください。

• /etc/syslog.conf は、特権デバッグに関連するデバッグメッセージのシステムログファイルです。デバッグメッセージのパスは priv.debug エントリに設定されています。

  詳細は、syslog.conf(4) のマニュアルページを参照してください。

監査レコードの特権アクション

特権の使用は監査することができます。プロセスで特権が使用される場合は常に、upriv 監査トークン内の監査トレールに特権の使用が記録されます。特権の名前がレコードに含まれる場合、テキスト形式が使用されます。次の監査イベントにより、特権の使用が記録されます。

• AUE_SETPPRIV 監査イベント – 特権セットが変更されたときに監査レコードを生成します。AUE_SETPPRIV 監査イベントは pm クラスにあります。

• AUE_MODALLOCPRIV 監査イベント – カーネルの外部から特権が追加されたときに監査レコードを生成します。AUE_MODALLOCPRIV 監査イベントは ad クラスにあります。

• AUE_MODDEVPLCY 監査イベント – デバイスポリシーが変更されたときに監査レコードを生成します。AUE_MODDEVPLCY 監査イベントは ad クラスにあります。

• AUE_PFEXEC 監査イベント – pfexec() が有効になっている execve() の呼び出しが行われたときに監査レコードを生成します。AUE_PFEXEC 監査イベントは、as、ex、ps、および ua 監査クラスにあります。特権の名前は、監査レコードに含まれます。

基本セット内に含まれている特権の正常な使用は監査されません。ユーザーの基本セットから削除された基本特権の使用を試みる場合、監査されます。