サイトのセキュリティーのために、ユーザーに割り当てられた特権をデフォルトより少なくしなければならないことがあります。たとえば、Trusted Extensions を Sun Ray システム上で使用しているサイトで、ユーザーが Sun Ray サーバー上のほかのユーザーのプロセスを表示できないようにします。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
注意 - proc_fork 特権または proc_exec 特権は削除しないでください。これらの特権がないと、ユーザーはシステムを使用できません。 |
# usermod -K defaultpriv=basic,!proc_info,!proc_session,!file_link_any
proc_info 特権を削除することにより、ユーザーは自分が開始元でないプロセスを一切検査できなくなります。proc_session 特権を削除することにより、ユーザーは現在のセッション外のプロセスを検査できなくなります。file_link_any 特権を削除することにより、ユーザーは所有していないファイルへのハードリンクを作成できなくなります。
関連項目
権利プロファイル内の特権制限を収集する例については、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 権利プロファイルを作成する方法のあとの例を参照してください。
システム上のすべてのユーザーの特権を制限するには、使用例 13を参照してください。