sstore-security - 统计信息和事件的安全属性
缺省情况下,统计信息和事件可由所有用户查看和捕获。
但少数情况下,需要获得更明确的 RBAC 授权。
统计信息可能需要标记为敏感信息。这意味着读取这些信息涉及到安全问题。例如,加密相关的统计信息。
可以使用要捕获的 expense 标记统计信息。许多统计信息不会对系统产生影响。但是,某些统计信息需要 DTrace 脚本等更具侵入性的技术,这可能会影响系统的性能。此类统计信息将标记为 expensive,并需要其他授权才能捕获。
客户机必须具有 solaris.sstore.read.sensitive 授权或者必须是 sstore-authorized-user(7),才能对给定 ssid 执行 read-sensitive 操作。
客户机必须具有 solaris.sstore.capture.sensitive 授权或者必须是 sstore-authorized-user(7),才能对给定 ssid 执行 capture-sensitive 操作。
客户机必须具有 solaris.sstore.capture.expensive 授权或者必须是 sstore-authorized-user(7),才能对给定 ssid 执行 capture-expensive 操作。
客户机必须具有 solaris.sstore.write 授权或者必须是 sstore-authorized-user(7),才能对给定 ssid 执行 write 操作。
客户机必须具有 solaris.sstore.update.res 授权或者必须是 sstore-authorized-user(7),才能对给定 ssid 执行 update_res 操作。
客户机必须具有 solaris.sstore.delete 授权或者必须是 sstore-authorized-user(7),才能对给定 ssid 执行 delete 操作。
客户机必须具有 solaris.sstore.configure 授权或者必须是 sstore-authorized-user(7),才能对给定 ssid 执行 configuration 操作。
以下 RBAC 配置文件中提供了查看和管理统计信息的授权:
读取所有统计信息
包含 Stat Store Read All 配置文件
读取和管理所有统计信息
包含 Stat Store Management 配置文件
以下示例显示了 ssid 的 expensive 属性。
$ sstore info //:class.dtrace//:res.net//:stat.ip_bytes
Identifier: //:class.dtrace//:res.net//:stat.ip_bytes
description: ip network traffic in bytes
type: counter
units: bytes
expensive: True
partitions: hostname
partitions: protocol
partitions: direction
partitions: application
示例中的 expensive 字段指定给定统计信息开销很大。如果 expensive 字段不存在,则假定给定 stat 开销不大。
auths(1)、sstore(1)、libsstore(3LIB)、sstore.json(5)、ssid(7)、ssid-metadata(7)、sstore(7)、sstore-authorized-user(7)、sstoreadm(1)