sstore-security - 統計とイベントのセキュリティー属性
デフォルトでは、統計とイベントはすべてのユーザーが表示および取得可能です。
ただし、より明確な RBAC 承認を必要とするシナリオがいくつかあります。
統計を機密扱いとしてマークする必要がある場合があります。つまり、それらの読み取りがセキュリティーに関連しているということです。たとえば、暗号化関連の統計が挙げられます。
統計をその取得にかかる expense でマークする場合があります。多くの統計は、システムにまったく影響しません。ただし、一部の統計では DTrace スクリプトなどのより侵入性の高い技術が必要となり、システムのパフォーマンスに影響を及ぼす可能性があります。そのような統計は expensive としてマークされ、その取得には追加の承認が必要になります。
クライアントは、solaris.sstore.read.sensitive 承認を持っているか、指定された ssid での read-sensitive 操作の sstore-authorized-user(7) である必要があります。
クライアントは、solaris.sstore.capture.sensitive 承認を持っているか、指定された ssid での capture-sensitive 操作の sstore-authorized-user(7) である必要があります。
クライアントは、solaris.sstore.capture.expensive 承認を持っているか、指定された ssid での capture-expensive 操作の sstore-authorized-user(7) である必要があります。
クライアントは、solaris.sstore.write 承認を持っているか、指定された ssid での write 操作の sstore-authorized-user(7) である必要があります。
クライアントは、solaris.sstore.update.res 承認を持っているか、指定された ssid での update_res 操作の sstore-authorized-user(7) である必要があります。
クライアントは、solaris.sstore.delete 承認を持っているか、指定された ssid での delete 操作の sstore-authorized-user(7) である必要があります。
クライアントは、solaris.sstore.configure 承認を持っているか、指定された ssid での configuration 操作の sstore-authorized-user(7) である必要があります。
統計を表示および管理するための承認は、次の RBAC プロファイルで入手可能になります。
すべての統計を読み取ります
Stat Store Read All プロファイルが含まれています
すべての統計を読み取って管理します
Stat Store Management プロファイルが含まれています
次の例では、ssid の expensive 属性を表示します。
$ sstore info //:class.dtrace//:res.net//:stat.ip_bytes
Identifier: //:class.dtrace//:res.net//:stat.ip_bytes
description: ip network traffic in bytes
type: counter
units: bytes
expensive: True
partitions: hostname
partitions: protocol
partitions: direction
partitions: application
この例の expensive フィールドは、指定された統計の負荷が高いことを示しています。expensive フィールドが存在しない場合、指定された stat の負荷は高くないと見なされます。
auths(1), sstore(1), libsstore(3LIB), sstore.json(5), ssid(7), ssid-metadata(7), sstore(7), sstore-authorized-user(7), sstoreadm(1)